Virus impossible à supprimer Fermé

Question

Bonjour, 
je viens d'etre infecté par je ne sais quoi, voici se qui est apparu sur mon bureau quelqu'un peut il m'aidé svp, Merci. 
Ecran noir avec une fenêtre qui clignote avec ceux_ci inscrit à l'intérieur:
WARNING 
Dangerous Spyware 
THere are many viruses found on your computer, such as Trojanhorses, PassCapture, etc. 
Your personal data can come into wrong hands. 
Please, follow that link to more about your data safety and privocy. 
Thank. 
Je précise que j'ai beau utiliser plusieurs anti-spyware, rien ne marche, rien ne l'efface.
Maintenant je n'ai plus de connection internet sur ce PC à l'aide svp
Merci d'avance

klm-9231 · Accepted Answer

vive linux et mac mdr non sinon tu a plusieur live cd sur les quelle tu peut booter et qui te supprime tout du plus petit ver au gros virus mais tu devra surment configurer ton bios mais un autre conseil instal linux ubuntu en dual-boot pour pouvoi recuperer tes donner une prochaine fois ou ton pc serais hs ! car une fois j'ai supprimer shell.dll et windows ne se lancais plus et linux m'a sauver car j'ai pu en copier la ddl manquante sur un pc et la reinstaler via linux

lion2africa · Answer

Bonjour j'avais le même probleme que toi, a droite de la barre des taches ( Virus Alert ) c'est bien sa ?

Venisia54 · Answer

Coucou,
A droite de la barre de tache j'ai un rond rouge avec une croix blanche dedans et quand je met mon curseur dessus cela me dit Warning! Security report your computer is infected.It is recommended to start spyware cleaner tool.

Utilisateur anonyme · Answer

Salut,

# Télécharge ceci: (merci a S!RI pour ce petit programme). 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe 

Exécute le, Double click sur Smitfraudfix.exe choisit l’option 1, 
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php 
il va générer un rapport : copie/colle le sur le poste stp.

lion2africa · Answer

D'acord telecharge et installe ses deux logiciels: MalwareBytes' Anti Malware
                                                                  SmitfraudFix

Et fait l'analyse en mode sans echec

Venisia54 · Answer

Voici le rapport:
SmitFraudFix v2.378

Rapport fait à 12:28:25,88, 25/11/2008
Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32
tdll64.exe
C:\WINDOWS\system32
tdll64.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\userinit.exe infecté !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E4928CA9-9B58-463F-930B-EFE44429F896}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E4928CA9-9B58-463F-930B-EFE44429F896}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Utilisateur anonyme · Answer

# Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
---------------------------------------------------------------------------- 
# Relance le programme Smitfraud : 
Cette fois choisit l’option 2, répond oui a tous ; 
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

Venisia54 · Answer

SmitFraudFix v2.378

Rapport fait à 12:48:11,34, 25/11/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1  localhost 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

Remplacement C:\WINDOWS\system32\userinit.exe
Remplacement C:\WINDOWS\system32\userinit.exe
Problème remplacement C:\WINDOWS\system32\userinit.exe

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{E4928CA9-9B58-463F-930B-EFE44429F896}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E4928CA9-9B58-463F-930B-EFE44429F896}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Utilisateur anonyme · Answer

Télécharge HijackThis (outils de dignostic) ici : 

->  Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
->  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 
->  ftp://ftp.commentcamarche.com/download/HJTInstall.exe

-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation 

-> Clique sur Install ensuite sur I Accept 

-> Clique sur Do a scan system and save log file 

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

Venisia54 · Answer

voila le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:02:21, on 25/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp"
O4 - HKCU\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg
O4 - HKCU\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\docume~1\admini~1\locals~1	emp
tdll64.dll' missing
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://venisia.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp05.photoprintit.de/microsite/3462/defaults/activex/IPSUploader.cab
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Utilisateur anonyme · Answer

* Télécharge SDFix depuis ce lien : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
* Enregistre SDFix sur ton bureau 
* Double-clique sur l'icone SDFix 
* Une fenêtre s'ouvre, laisse les options telles quelles puis clique sur le bouton InstallSDFix . 

Pour la suite le nettoyage se fait en mode sans échec. 

Pour redémarrer en mode sans échec : 

* Redémarre ton PC, avant le logo Windows et après le changement du premier écran 
* Tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier. 
* Pour plus d'informations, voir la page comment redémarrer en mode sans échec 

* Une fois en mode sans échec, clique sur le menu Démarrer puis Exécuter et colle la commande suivant : 
C:\SDFix\RunThis.bat 
* Cliquez sur OK. 
* Une fenêtre noire s'ouvre vous donnant la version du Fix. 
* Appuyez sur la touche Y (pour yes) du clavier et appuyez sur Entrée 

*A ce moment le bureau (Menu Démarrer etc.) va disparaître. 

* Le Fix commence son travail, cela peut durer une trentaines de minutes 
* Une fois les opérations de nettoyage effectuées... SDFix signale que l'ordinateur doit être redémarré : 

>>>The PC Will now restart 

* Appuie sur une touche du clavier 

* L'ordinateur va redémarrer normalement. 
* Avant d'arriver sur le bureau, une nouvelle fenêtre de SDFix va s'ouvrir. Ca peut durer cinq minutes... 

>> Le rapport SDFix s'ouvre alors fais un copier coller et envoi le.

Venisia54 · Answer

Pendant la mise a jour du rapport le pc a reboot, je ne c pas si c est normal.
sinon le seul rapport que j ai trouvé se nomme catchme...le voici

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 13:37:01
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

Utilisateur anonyme · Answer

Telecharge malwarebytes 

Tu l´instale; le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression". 

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum. 

Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log

Venisia54 · Answer

Désolé pour ma lenteur mais le scan est toujours pas finie :/

Utilisateur anonyme · Answer

OK pas de soucis

Venisia54 · Answer

Re,
Voilà le scan est enfin fini :)
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1156
Windows 5.1.2600 Service Pack 3

25/11/2008 16:34:04
mbam-log-2008-11-25 (16-33-47).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 175629
Temps écoulé: 2 hour(s), 39 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

No action taken >> t as supprimé ?

Venisia54 · Answer

Oui j'ai supprimé les 2 éléments mais je t'ai envoyé le premier rapport celui avant que je suprime les éléments voilà le final.
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1156
Windows 5.1.2600 Service Pack 3

25/11/2008 16:34:07
mbam-log-2008-11-25 (16-34-07).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 175629
Temps écoulé: 2 hour(s), 39 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

Réouvre malewarebyte
va sur quarantaine
supprime tout

comment va le pc ?


refais un scan hijackthis et post le rapport stp

Venisia54 · Answer

Voilà le rapport je l'ai fais en mode sans échec vu que mon pc avait pas reboot.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:39, on 25/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp"
O4 - HKCU\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg
O4 - HKCU\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\docume~1\admini~1\locals~1	emp
tdll64.dll' missing
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://venisia.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp05.photoprintit.de/microsite/3462/defaults/activex/IPSUploader.cab
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Utilisateur anonyme · Answer

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 




-> Double clique sur combofix.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Venisia54 · Answer

Sinon c'est toujours pareil toujours pas de net, toujours écran noir avec ce message qui clignote:(
Ok je vais faire cela, merci beaucoup pour ton aide en tout cas et ta patience :)

Venisia54 · Answer

J'ai lancé Combofix  et j'ai un message qui apparait me disant:
Combofix a detecté que la console de récupération windows n'existe pas sur ce PC
Vous auriez vraiment interet à l'installer. voulez vous le faire maintenant ?
une connection internet active est indispensable.

Internet ne marche plus sur le PC infecté....

Utilisateur anonyme · Answer

ne l instal pas

Venisia54 · Answer

ok mais je vais rien perdre ou quoi que ce soit ?
Je veux pas achever le PC de mon mari lol ?

Utilisateur anonyme · Answer

Lol

non rassures toi ce fix est fiable mais suis bien les consignes

Venisia54 · Answer

Ok merci beaucoup

Venisia54 · Answer

Voilà le rapport ComboFix 08-11-24.03 - Utilisateur 2008-11-25 17:18:13.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1631 [GMT 1:00] Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Utilisateur\Application Data\.# c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@3841A8.### c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@3841D8.### c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@384208.### . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-25 au 2008-11-25 )))))))))))))))))))))))))))))))))))) . 2008-11-25 13:14 . 2008-11-25 13:14 d-------- c:\windows\ERUNT 2008-11-25 13:14 . 2008-11-25 13:14 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll 2008-11-25 13:10 . 2008-11-25 13:36 d-------- C:\SDFix 2008-11-25 12:28 . 2008-11-25 12:53 1,680 --a------ c:\windows\system32 mp.reg 2008-11-25 12:27 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe 2008-11-25 12:27 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe 2008-11-25 12:27 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe 2008-11-25 12:27 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\o4Patch.exe 2008-11-25 12:27 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe 2008-11-25 12:27 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe 2008-11-25 12:27 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe 2008-11-25 12:27 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe 2008-11-25 12:27 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe 2008-11-25 12:27 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe 2008-11-25 07:46 . 2008-11-25 07:56 d-------- C:\TEMP 2008-11-25 01:57 . 2008-11-25 01:57 1 --a------ c:\windows\system32\uniq.tll 2008-11-24 23:56 . 2008-11-24 23:56 d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2008-11-24 21:54 . 2008-11-24 22:59 86,016 --a------ c:\windows\system32 tdll64.exe 2008-11-24 21:54 . 2008-11-24 21:54 23,552 --a------ c:\windows\system32\frmwrk32.exe 2008-11-24 21:54 . 2008-11-24 23:30 4,785 --a------ c:\windows\system32\warning.gif 2008-11-24 21:54 . 2008-11-24 23:30 1,349 --a------ c:\windows\system32\ahtn.htm 2008-11-24 21:54 . 2008-11-24 22:59 463 --a------ c:\windows\system32\win32hlp.cnf 2008-11-24 21:54 . 2008-11-24 21:54 1 --a------ c:\windows\system32 est.ttt 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\Utilisateur\Application Data\Babylon 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\All Users\Application Data\Babylon 2008-11-24 21:50 . 2008-11-25 17:19 79,570 --a------ c:\windows\system32\drivers\8d8b8bcd.sys 2008-11-23 17:11 . 2008-11-23 17:11 d-------- c:\program files\Activision 2008-11-23 15:00 . 2008-11-23 15:00 d--hs---- c:\windows\ftpcache 2008-11-15 15:26 . 2008-11-15 22:19 d-------- c:\documents and settings\Utilisateur\Application Data\Mumble 2008-11-14 23:24 . 2008-11-15 15:26 d-------- c:\program files\Mumble 2008-11-13 07:46 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2008-11-13 07:46 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-09 20:43 . 2008-05-30 14:19 507,400 --a------ c:\windows\system32\XAudio2_1.dll 2008-11-09 20:43 . 2008-05-30 14:17 65,032 --a------ c:\windows\system32\XAPOFX1_0.dll 2008-11-09 20:42 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll 2008-11-09 20:42 . 2008-05-30 14:18 238,088 --a------ c:\windows\system32\xactengine3_1.dll 2008-11-09 20:42 . 2008-05-30 14:17 25,608 --a------ c:\windows\system32\X3DAudio1_4.dll 2008-11-09 20:41 . 2008-11-09 20:41 d-------- c:\program files\MSBuild 2008-11-09 20:39 . 2008-11-10 17:15 d-------- c:\windows\system32\XPSViewer 2008-11-09 20:38 . 2008-11-09 20:38 d-------- c:\program files\Reference Assemblies 2008-11-09 20:38 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-24 20:54 86,016 ----a-w c:\windows\system32\userinit.exe 2008-11-23 16:31 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-22 17:03 --------- d-----w c:\program files\Codemasters 2008-11-11 11:09 --------- d-----w c:\program files\Electronic Arts 2008-11-09 19:55 107,888 ----a-w c:\windows\system32\CmdLineExt.dll 2008-11-07 18:12 --------- d-----w c:\program files\Wanadoo 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-09-28 10:55 --------- d-----w c:\program files\Mount&Blade 2008-09-27 10:26 --------- d-----w c:\program files\Curse 2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll 2008-09-06 18:32 304,528 ----a-w c:\windows\system32\appdrvrem01.exe 2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll 2008-01-19 10:58 22,328 ----a-w c:\documents and settings\Utilisateur\Application Data\PnkBstrK.sys 2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2007-12-15 482760] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928] "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832] "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-01-16 185896] "nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32 wiz.exe] "Framework Windows"="frmwrk32.exe" [2008-11-24 c:\windows\system32\frmwrk32.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Valve\Steam\SteamApps\raknar\counter-strike source\hl2.exe"= "c:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"= "c:\WINDOWS\system32\PnkBstrA.exe"= "c:\WINDOWS\system32\PnkBstrB.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\BitTorrent\bittorrent.exe"= "c:\Program Files\CRS\Battleground Europe\WW2_sse2.exe"= "c:\Program Files\Codemasters\GRID\GRID.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\xrEngine.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\dedicated\xrEngine.exe"= "c:\Program Files\Curse\CurseClient.exe"= "c:\Program Files\Activision\Call of Duty - World at War\CoDWaW.exe"= "c:\Program Files\Activision\Call of Duty - World at War\CoDWaWmp.exe"= R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-09-06 2915944] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 78416] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-05 20560] R3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;c:\windows\system32\DRIVERS\AN983.sys [2002-01-05 36224] S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\FarCryAutoCD.exe . Contenu du dossier 'Tâches planifiées' 2008-11-25 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.orange.fr/ IE: { - c:\program files\Messenger\msmsgs.exe IE: {c:\program files\Messenger\msmsgs.exe - - c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\ImageUploader4.ocx O16 -: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} hxxp://www.extrafilm.fr/ImageUploader4.cab c:\windows\Downloaded Program Files\ImageUploader4.inf c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\CONFLICT.1\IPSUploader.ocx O16 -: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab c:\windows\Downloaded Program Files\CONFLICT.1\IPSUploader.inf c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\IPSUploader4.ocx O16 -: {CAC677B6-4963-4305-9066-0BD135CD9233} hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab c:\windows\Downloaded Program Files\IPSUploader4.inf c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\IPSUploader.ocx O16 -: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} hxxp://asp05.photoprintit.de/microsite/3462/defaults/activex/IPSUploader.cab c:\windows\Downloaded Program Files\IPSUploader.inf . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-25 17:19:23 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\8d8b8bcd] "ImagePath"="\SystemRoot\System32\drivers\8d8b8bcd.sys" . Heure de fin: 2008-11-25 17:20:08 ComboFix-quarantined-files.txt 2008-11-25 16:19:58 Avant-CF: 9 472 573 440 octets libres Après-CF: 9,540,931,584 octets libres 171 --- E O F --- 2008-11-13 07:23:07

Utilisateur anonyme · Answer

Copie le texte ci-dessous : 

File:: 
c:\windows\system32	mp.reg 
c:\windows\system32\VCCLSID.exe 
c:\windows\system32\SrchSTS.exe 
c:\windows\system32\VACFix.exe 
c:\windows\system32\o4Patch.exe 
c:\windows\system32\IEDFix.exe 
c:\windows\system32\IEDFix.C.exe 
c:\windows\system32\404Fix.exe 
c:\windows\system32\Process.exe 
c:\windows\system32\dumphive.exe 
c:\windows\system32\WS2Fix.exe 
c:\windows\system32\frmwrk32.exe 
c:\windows\system32\warning.gif 

Folder:: 
c:\windows\ERUNT 
C:\SDFix

Registry:: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Framework Windows"=-

FileLook:: 
c:\windows\system32
tdll64.exe 
c:\windows\system32\ahtn.htm 
c:\windows\system32\win32hlp.cnf 
c:\windows\system32	est.ttt 



Ouvre le Bloc-Notes puis colle le texte copié. 
(Démarrer\Tous les programmes\Accessoires\Bloc notes.) 
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci : 

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis. 

S'il n'y a pas de rédémarrage, poste quand même les rapports.

Venisia54 · Answer

Me revoilà lol :) ComboFix 08-11-24.03 - Utilisateur 2008-11-25 17:39:27.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1588 [GMT 1:00] Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Utilisateur\Bureau\CFScript.txt * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] FILE :: c:\windows\system32\404Fix.exe c:\windows\system32\dumphive.exe c:\windows\system32\frmwrk32.exe c:\windows\system32\IEDFix.C.exe c:\windows\system32\IEDFix.exe c:\windows\system32\o4Patch.exe c:\windows\system32\Process.exe c:\windows\system32\SrchSTS.exe c:\windows\system32\tmp.reg c:\windows\system32\VACFix.exe c:\windows\system32\VCCLSID.exe c:\windows\system32\warning.gif c:\windows\system32\WS2Fix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\SDFix c:\sdfix\Add_DBFix_RunOnce_key.inf c:\sdfix\AdminCheck2.txt c:\sdfix\apps\assosfix.reg c:\sdfix\apps\Cghtme.exe c:\sdfix\apps\cliptext.exe c:\sdfix\apps\CSweg.exe c:\sdfix\apps\DBFix.inf c:\sdfix\apps\download.exe c:\sdfix\apps\dummy.sys c:\sdfix\apps\Enable_Command_Prompt.inf c:\sdfix\apps\Enable_Command_Prompt.reg c:\sdfix\apps\ERDNT.E_E c:\sdfix\apps\ERDNTDOS.LOC c:\sdfix\apps\ERDNTWIN.LOC c:\sdfix\apps\ERUNT.EXE c:\sdfix\apps\ERUNT.LOC c:\sdfix\apps\fix.reg c:\sdfix\apps\FixBeep.reg c:\sdfix\apps\FixBH.reg c:\sdfix\apps\FixComponents.reg c:\sdfix\apps\FIXCU.reg c:\sdfix\apps\FIXLM.reg c:\sdfix\apps\FixPath.exe c:\sdfix\apps\FixRedir.reg c:\sdfix\apps\FixSchedule.reg c:\sdfix\apps\FixWebCheck.reg c:\sdfix\apps\fixXP.reg c:\sdfix\apps\FixXPsp2.reg c:\sdfix\apps\grep.exe c:\sdfix\apps\HaxdFix.reg c:\sdfix\apps\HPFix.reg c:\sdfix\apps\HPFix2.reg c:\sdfix\apps\HPFix3.reg c:\sdfix\apps\HPFix4.reg c:\sdfix\apps\HPFix5.reg c:\sdfix\apps\HPFix6.reg c:\sdfix\apps\HPFix7.reg c:\sdfix\apps\HPFix8.reg c:\sdfix\apps\HPFix9.reg c:\sdfix\apps\Installed.txt c:\sdfix\apps\isadmin.exe c:\sdfix\apps\leg2.txt c:\sdfix\apps\legacy.txt c:\sdfix\apps\legacybk.txt c:\sdfix\apps\locate.com c:\sdfix\apps\LS.exe c:\sdfix\apps\MD5File.exe c:\sdfix\apps\moveex.exe c:\sdfix\apps\MyGcpvFix.reg c:\sdfix\apps\MyGkFix2.reg c:\sdfix\apps\Process.exe c:\sdfix\apps\procs.exe c:\sdfix\apps\psservice.exe c:\sdfix\apps\Rem.txt c:\sdfix\apps\Rem2.txt c:\sdfix\apps\Replace\regedit.exe c:\sdfix\apps\Replace\w2k\AUTOEXEC.NT c:\sdfix\apps\Replace\w2k\beep.sys c:\sdfix\apps\Replace\w2k\command.com c:\sdfix\apps\Replace\w2k\command.PIF c:\sdfix\apps\Replace\w2k\CONFIG.NT c:\sdfix\apps\Replace\w2k\null.sys c:\sdfix\apps\Replace\xp\AUTOEXEC.NT c:\sdfix\apps\Replace\xp\beep.sys c:\sdfix\apps\Replace\xp\command.com c:\sdfix\apps\Replace\xp\command.PIF c:\sdfix\apps\Replace\xp\CONFIG.NT c:\sdfix\apps\Replace\xp\null.sys c:\sdfix\apps\Reset_AppInit_DLLs.reg c:\sdfix\apps\RestartIt!.exe c:\sdfix\apps\Restore_SafeBoot_Windows2000.reg c:\sdfix\apps\Restore_SafeBoot_WindowsXP.reg c:\sdfix\apps\Restore_SafeBoot_WindowsXP_SP2.reg c:\sdfix\apps\Restore_SafeBoot_WindowsXP_SP3.reg c:\sdfix\apps\Restore_SecurityCenter.reg c:\sdfix\apps\Restore_SharedAccess.reg c:\sdfix\apps\sc.exe c:\sdfix\apps\sed.exe c:\sdfix\apps\SF.exe c:\sdfix\apps\shutdown.exe c:\sdfix\apps\srv2.txt c:\sdfix\apps\srv2bk.txt c:\sdfix\apps\svc.txt c:\sdfix\apps\svcbk.txt c:\sdfix\apps\Swreg.exe c:\sdfix\apps\swsc.exe c:\sdfix\apps\UnRAR.exe c:\sdfix\apps\unzip.exe c:\sdfix\apps\vfind.exe c:\sdfix\apps\WINMSG.EXE c:\sdfix\apps\winsec.reg c:\sdfix\apps\zip.exe c:\sdfix\attrib.exe c:\sdfix\backups\backupreg.zip c:\sdfix\backups\backups.zip c:\sdfix\beepFA0.TXT c:\sdfix\beepFA1.TXT c:\sdfix\beepFA2.TXT c:\sdfix\beepFA3.TXT c:\sdfix\beepFA4.TXT c:\sdfix\beepxcodec0.TXT c:\sdfix\beepxcodec1.TXT c:\sdfix\beepxcodec2.TXT c:\sdfix\beepxcodec3.TXT c:\sdfix\beepxcodec4.TXT c:\sdfix\bpTEST1.TXT c:\sdfix\bpTEST3.TXT c:\sdfix\catchme.exe c:\sdfix\Catchme.log c:\sdfix\CheckRuns.txt c:\sdfix\Checkusersdir1a.txt c:\sdfix\Checkusersdir2a.txt c:\sdfix\clean.reg c:\sdfix\cleanD.reg c:\sdfix\DBFix.bat c:\sdfix\delavi0.txt c:\sdfix\delzip0.txt c:\sdfix\dest.txt c:\sdfix\dnif.exe c:\sdfix\dummy.exe c:\sdfix\dummy.sys c:\sdfix\editreg.exe c:\sdfix\FilekillList1.txt c:\sdfix\FileList1.txt c:\sdfix\FileList2.txt c:\sdfix\Find.txt c:\sdfix\Findav2009.txt c:\sdfix\Findav2009a.txt c:\sdfix\Findbhos1.txt c:\sdfix\FindIRCBrute.txt c:\sdfix\Findroguerun1.txt c:\sdfix\Findrun002.txt c:\sdfix\Findrun002a.txt c:\sdfix\Findrun30.txt c:\sdfix\Findrun31.txt c:\sdfix\Findrun31a.txt c:\sdfix\Findrun31b.txt c:\sdfix\Findrun32.txt c:\sdfix\Findrunbifrose1.txt c:\sdfix\Findrunbot1.txt c:\sdfix\FindrunDW_Start.txt c:\sdfix\Findzip.txt c:\sdfix\Foundsvc.txt c:\sdfix\HOSTS c:\sdfix\Patched2a.txt c:\sdfix\Patched2b.txt c:\sdfix\Patched2c.txt c:\sdfix\RemLat.txt c:\sdfix\Remlat1.txt c:\sdfix\Remlat2.txt c:\sdfix\Remlat3.txt c:\sdfix\Remlat4.txt c:\sdfix\Remlat6a.txt c:\sdfix\Remlat6b.txt c:\sdfix\Remlat6c.txt c:\sdfix\Remlat6d.txt c:\sdfix\RepairTDSSS.reg c:\sdfix\Report.txt c:\sdfix\rtsdnif.exe c:\sdfix\RunThis.bat c:\sdfix\SDFIX_ReadMe_Online.url c:\sdfix\TESTADS1.txt c:\sdfix\TESTADS2.txt c:\sdfix\TESTADS3.txt c:\sdfix\TESTADS4.txt c:\sdfix\TESTADS5.txt c:\sdfix\TESTADS6.txt c:\sdfix\TESTClbtds3A.txt c:\sdfix\TESTSecProar.txt c:\sdfix\TESTspreadbot1.TXT c:\sdfix\TESTspreadbot2.TXT c:\sdfix\TESTspreadbot3.TXT c:\sdfix\TESTstartupusr.TXT c:\sdfix\TESTtdsss1.TXT c:\sdfix\TESTtdsss1a.TXT c:\sdfix\TESTtdsss1b.TXT c:\sdfix\TESTtdsss2.TXT c:\sdfix\TESTtdsss2a.TXT c:\sdfix\TESTtdsss2b.TXT c:\sdfix\TESTtdsss2c.TXT c:\sdfix\TESTtdsss2d.TXT c:\sdfix\TESTtdsss2e.TXT c:\sdfix\TESTtdsss2f.TXT c:\sdfix\TESTtdsss2g.TXT c:\sdfix\TESTtdsss2h.TXT c:\sdfix\userinfix.reg c:\sdfix\W2K_VirusAlert_Repair.inf c:\sdfix\XP_VirusAlert_Repair.inf c:\windows\ERUNT c:\windows\ERUNT\SDFIX\default c:\windows\ERUNT\SDFIX\ERDNT.CON c:\windows\ERUNT\SDFIX\ERDNT.EXE c:\windows\ERUNT\SDFIX\ERDNT.INF c:\windows\ERUNT\SDFIX\ERDNTDOS.LOC c:\windows\ERUNT\SDFIX\ERDNTWIN.LOC c:\windows\ERUNT\SDFIX\Find.txt c:\windows\ERUNT\SDFIX\RemLat.txt c:\windows\ERUNT\SDFIX\report.txt c:\windows\ERUNT\SDFIX\SAM c:\windows\ERUNT\SDFIX\SECURITY c:\windows\ERUNT\SDFIX\software c:\windows\ERUNT\SDFIX\system c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat c:\windows\ERUNT\SDFIX_First_Run\default c:\windows\ERUNT\SDFIX_First_Run\ERDNT.CON c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE c:\windows\ERUNT\SDFIX_First_Run\ERDNT.INF c:\windows\ERUNT\SDFIX_First_Run\ERDNTDOS.LOC c:\windows\ERUNT\SDFIX_First_Run\ERDNTWIN.LOC c:\windows\ERUNT\SDFIX_First_Run\SAM c:\windows\ERUNT\SDFIX_First_Run\SECURITY c:\windows\ERUNT\SDFIX_First_Run\software c:\windows\ERUNT\SDFIX_First_Run\system c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat c:\windows\system32\404Fix.exe c:\windows\system32\dumphive.exe c:\windows\system32\frmwrk32.exe c:\windows\system32\IEDFix.C.exe c:\windows\system32\IEDFix.exe c:\windows\system32\o4Patch.exe c:\windows\system32\Process.exe c:\windows\system32\SrchSTS.exe c:\windows\system32\tmp.reg c:\windows\system32\VACFix.exe c:\windows\system32\VCCLSID.exe c:\windows\system32\warning.gif c:\windows\system32\WS2Fix.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-25 au 2008-11-25 )))))))))))))))))))))))))))))))))))) . 2008-11-25 13:14 . 2008-11-25 13:14 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll 2008-11-25 07:46 . 2008-11-25 07:56 d-------- C:\TEMP 2008-11-25 01:57 . 2008-11-25 01:57 1 --a------ c:\windows\system32\uniq.tll 2008-11-24 23:56 . 2008-11-24 23:56 d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2008-11-24 21:54 . 2008-11-24 22:59 86,016 --a------ c:\windows\system32\ntdll64.exe 2008-11-24 21:54 . 2008-11-24 23:30 1,349 --a------ c:\windows\system32\ahtn.htm 2008-11-24 21:54 . 2008-11-24 22:59 463 --a------ c:\windows\system32\win32hlp.cnf 2008-11-24 21:54 . 2008-11-24 21:54 1 --a------ c:\windows\system32\test.ttt 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\Utilisateur\Application Data\Babylon 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\All Users\Application Data\Babylon 2008-11-24 21:50 . 2008-11-25 17:40 79,570 --a------ c:\windows\system32\drivers\8d8b8bcd.sys 2008-11-23 17:11 . 2008-11-23 17:11 d-------- c:\program files\Activision 2008-11-23 15:00 . 2008-11-23 15:00 d--hs---- c:\windows\ftpcache 2008-11-15 15:26 . 2008-11-15 22:19 d-------- c:\documents and settings\Utilisateur\Application Data\Mumble 2008-11-14 23:24 . 2008-11-15 15:26 d-------- c:\program files\Mumble 2008-11-13 07:46 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2008-11-13 07:46 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-09 20:43 . 2008-05-30 14:19 507,400 --a------ c:\windows\system32\XAudio2_1.dll 2008-11-09 20:43 . 2008-05-30 14:17 65,032 --a------ c:\windows\system32\XAPOFX1_0.dll 2008-11-09 20:42 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll 2008-11-09 20:42 . 2008-05-30 14:18 238,088 --a------ c:\windows\system32\xactengine3_1.dll 2008-11-09 20:42 . 2008-05-30 14:17 25,608 --a------ c:\windows\system32\X3DAudio1_4.dll 2008-11-09 20:41 . 2008-11-09 20:41 d-------- c:\program files\MSBuild 2008-11-09 20:39 . 2008-11-10 17:15 d-------- c:\windows\system32\XPSViewer 2008-11-09 20:38 . 2008-11-09 20:38 d-------- c:\program files\Reference Assemblies 2008-11-09 20:38 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-24 20:54 86,016 ----a-w c:\windows\system32\userinit.exe 2008-11-23 16:31 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-22 17:03 --------- d-----w c:\program files\Codemasters 2008-11-11 11:09 --------- d-----w c:\program files\Electronic Arts 2008-11-09 19:55 107,888 ----a-w c:\windows\system32\CmdLineExt.dll 2008-11-07 18:12 --------- d-----w c:\program files\Wanadoo 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-09-28 10:55 --------- d-----w c:\program files\Mount&Blade 2008-09-27 10:26 --------- d-----w c:\program files\Curse 2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll 2008-09-06 18:32 304,528 ----a-w c:\windows\system32\appdrvrem01.exe 2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll 2008-01-19 10:58 22,328 ----a-w c:\documents and settings\Utilisateur\Application Data\PnkBstrK.sys 2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\ahtn.htm -- Not a PE file. MD5: 4e014f18d01a1991b491c2b37e52cc22 c:\windows\system32\ntdll64.exe -- Unable to find Resource table header. MD5: 3e54b34e017b03f3a4df17634488cd9e c:\windows\system32\test.ttt -- Not a PE file. MD5: 68b329da9893e34099c7d8ad5cb9c940 c:\windows\system32\win32hlp.cnf -- Not a PE file. MD5: 8f0e15f6acde128141a0bcb7a4727b30 ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2007-12-15 482760] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928] "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832] "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-16 185896] "nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Valve\Steam\SteamApps\raknar\counter-strike source\hl2.exe"= "c:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"= "c:\WINDOWS\system32\PnkBstrA.exe"= "c:\WINDOWS\system32\PnkBstrB.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\BitTorrent\bittorrent.exe"= "c:\Program Files\CRS\Battleground Europe\WW2_sse2.exe"= "c:\Program Files\Codemasters\GRID\GRID.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\xrEngine.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\dedicated\xrEngine.exe"= "c:\Program Files\Curse\CurseClient.exe"= "c:\Program Files\Activision\Call of Duty - World at War\CoDWaW.exe"= "c:\Program Files\Activision\Call of Duty - World at War\CoDWaWmp.exe"= R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-09-06 2915944] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 78416] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-05 20560] R3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;c:\windows\system32\DRIVERS\AN983.sys [2002-01-05 36224] S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\FarCryAutoCD.exe . Contenu du dossier 'Tâches planifiées' 2008-11-25 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] . - - - - ORPHELINS SUPPRIMES - - - - HKLM-Run-Framework Windows - frmwrk32.exe ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-25 17:40:18 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Et voilà le rapport hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:42:25, on 25/11/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\WINDOWS\system32\ntdll64.exe C:\WINDOWS\system32\ntdll64.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://venisia.spaces.live.com/PhotoUpload/MsnPUpld.cab O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp05.photoprintit.de/microsite/3462/defaults/activex/IPSUploader.cab O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Utilisateur anonyme · Answer

comment va le pc ??




Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier :c:\windows\system32
tdll64.exe  


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse

Venisia54 · Answer

Le PC à l'air de tourner nikel :)

Utilisateur anonyme · Answer

oki

Venisia54 · Answer

Information additionnelle 
File size: 86016 bytes 
MD5...: 3e54b34e017b03f3a4df17634488cd9e 
SHA1..: 041a064cf3e9cbbe7b3e116d1b6efec1e0be0101 
SHA256: 4056db8790d8154a808a0017a3fb6586510b62e55a75370ad9807065111b62c5 
SHA512: 0ef4bcbfc9f263fdbcfc966ee62786d5d25d5d8a2ae98e53ae21949cdbc6c9a4
0bc3eec5175d2d5391e0ae1cee6ce97d5d07abc544180b6d702f1bde76b0de89 
PEiD..: Armadillo v1.71 
TrID..: File type identification
Windows OCX File (51.7%)
Win32 Executable MS Visual C++ (generic) (15.8%)
UPX compressed Win32 Executable (12.8%)
Win32 EXE Yoda's Crypter (11.1%)
Win32 Executable Generic (3.5%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4031a4
timedatestamp.....: 0x491eb2b2 (Sat Nov 15 11:29:54 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x254b 0x2600 6.13 b237525c8d12f5c09cc2fe74c586c6b8
.rdata 0x4000 0xf90 0x1000 5.15 b399d46d5f500bef822ebd60c1b9398f
.data 0x5000 0x11564 0x11600 6.33 a0686ebe6624a715ebcc7fd939065ff4

( 7 imports ) 
> KERNEL32.dll: WaitForSingleObject, GetLastError, CreateMutexA, GetProcAddress, LoadLibraryA, GetTempPathA, CreateProcessA, CreateProcessW, ExitProcess, TerminateProcess, SetProcessPriorityBoost, SetThreadPriority, GetCurrentThread, SetPriorityClass, GetCurrentProcess, GetEnvironmentVariableA, WriteFile, GetModuleFileNameA, WinExec, DeleteFileA, lstrcpyA, SetFilePointer, GetFileSize, CopyFileW, GetModuleFileNameW, MoveFileW, lstrcatW, lstrcpyW, GetSystemDirectoryW, LoadLibraryW, Sleep, GetCommandLineA, GetModuleHandleA, GetStartupInfoA, CreateFileA, ReadFile, CloseHandle, GetSystemDirectoryA, GetShortPathNameA, lstrcatA
> USER32.dll: SetWindowsHookExA, UnhookWindowsHookEx, wsprintfA
> ADVAPI32.dll: RegOpenKeyExA, RegSetValueExA, RegCloseKey, RegCreateKeyA, RegQueryValueExA
> SHELL32.dll: SHChangeNotify, ShellExecuteExA
> MSVCP60.dll: __C@_1___Nullstr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@CAPBDXZ@4DB, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIPBDII@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV01@@Z, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@ABV12@II@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __Eos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXI@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, __Copy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXI@Z, __Xlen@std@@YAXXZ, __Grow@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAE_NI_N@Z, __Split@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXXZ, __Xran@std@@YAXXZ, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, __Freeze@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXXZ, _max_size@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIXZ
> WININET.dll: InternetOpenA, InternetOpenUrlA, InternetReadFile, InternetCloseHandle, InternetGetConnectedState
> MSVCRT.dll: __setusermatherr, _adjust_fdiv, __p__commode, _controlfp, _initterm, __getmainargs, __p__fmode, _except_handler3, _acmdln, __set_app_type, __CxxFrameHandler, memmove, _snprintf, atoi, __2@YAPAXI@Z, strstr, free, __dllonexit, _onexit, _exit, _XcptFilter, exit

( 0 exports )

Utilisateur anonyme · Answer

sniff

manque le debut du rapport

Venisia54 · Answer

Arrrf zut désolé :(

Je t'ai tout copié cette fois même si c'est trop lol :)

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.11.21.0 2008.11.21 - 
AntiVir 7.9.0.35 2008.11.21 TR/Drop.Mstig.A 
Authentium 5.1.0.4 2008.11.22 - 
Avast 4.8.1281.0 2008.11.21 Win32:Trojan-gen {Other} 
AVG 8.0.0.199 2008.11.21 SHeur2.BQY 
BitDefender 7.2 2008.11.22 - 
CAT-QuickHeal 10.00 2008.11.21 - 
ClamAV 0.94.1 2008.11.21 - 
DrWeb 4.44.0.09170 2008.11.22 DLOADER.Trojan 
eSafe 7.0.17.0 2008.11.19 Win32.Agent.eyc 
eTrust-Vet 31.6.6222 2008.11.22 - 
Ewido 4.0 2008.11.21 - 
F-Prot 4.4.4.56 2008.11.21 - 
F-Secure 8.0.14332.0 2008.11.22 - 
Fortinet 3.117.0.0 2008.11.21 PossibleThreat 
GData 19 2008.11.22 Win32:Trojan-gen {Other} 
Ikarus T3.1.1.45.0 2008.11.22 - 
K7AntiVirus 7.10.530 2008.11.21 Trojan.Win32.Malware.1 
Kaspersky 7.0.0.125 2008.11.22 Exploit.Win32.IMG-WMF.hf 
McAfee 5441 2008.11.21 Generic.dx 
McAfee+Artemis 5441 2008.11.21 Generic.dx 
Microsoft 1.4104 2008.11.22 Trojan:Win32/Fakeinit 
NOD32 3632 2008.11.21 Win32/TrojanDownloader.FakeAlert.QT 
Norman 5.80.02 2008.11.21 - 
Panda 9.0.0.4 2008.11.21 Suspicious file 
PCTools 4.4.2.0 2008.11.21 - 
Prevx1 V2 2008.11.22 - 
Rising 21.04.42.00 2008.11.21 - 
SecureWeb-Gateway 6.7.6 2008.11.22 Trojan.Agent.imw 
Sophos 4.35.0 2008.11.22 - 
Sunbelt 3.1.1823.2 2008.11.21 - 
Symantec 10 2008.11.22 - 
TheHacker 6.3.1.1.159 2008.11.19 - 
TrendMicro 8.700.0.1004 2008.11.21 TROJ_DLOAD.LU 
VBA32 3.12.8.9 2008.11.21 suspected of Embedded.Trojan.Win32.BHO.ibt 
ViRobot 2008.11.18.1474 2008.11.18 - 
VirusBuster 4.5.11.0 2008.11.21 - 
Information additionnelle 
File size: 86016 bytes 
MD5...: 3e54b34e017b03f3a4df17634488cd9e 
SHA1..: 041a064cf3e9cbbe7b3e116d1b6efec1e0be0101 
SHA256: 4056db8790d8154a808a0017a3fb6586510b62e55a75370ad9807065111b62c5 
SHA512: 0ef4bcbfc9f263fdbcfc966ee62786d5d25d5d8a2ae98e53ae21949cdbc6c9a4
0bc3eec5175d2d5391e0ae1cee6ce97d5d07abc544180b6d702f1bde76b0de89 
PEiD..: Armadillo v1.71 
TrID..: File type identification
Windows OCX File (51.7%)
Win32 Executable MS Visual C++ (generic) (15.8%)
UPX compressed Win32 Executable (12.8%)
Win32 EXE Yoda's Crypter (11.1%)
Win32 Executable Generic (3.5%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4031a4
timedatestamp.....: 0x491eb2b2 (Sat Nov 15 11:29:54 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x254b 0x2600 6.13 b237525c8d12f5c09cc2fe74c586c6b8
.rdata 0x4000 0xf90 0x1000 5.15 b399d46d5f500bef822ebd60c1b9398f
.data 0x5000 0x11564 0x11600 6.33 a0686ebe6624a715ebcc7fd939065ff4

( 7 imports ) 
> KERNEL32.dll: WaitForSingleObject, GetLastError, CreateMutexA, GetProcAddress, LoadLibraryA, GetTempPathA, CreateProcessA, CreateProcessW, ExitProcess, TerminateProcess, SetProcessPriorityBoost, SetThreadPriority, GetCurrentThread, SetPriorityClass, GetCurrentProcess, GetEnvironmentVariableA, WriteFile, GetModuleFileNameA, WinExec, DeleteFileA, lstrcpyA, SetFilePointer, GetFileSize, CopyFileW, GetModuleFileNameW, MoveFileW, lstrcatW, lstrcpyW, GetSystemDirectoryW, LoadLibraryW, Sleep, GetCommandLineA, GetModuleHandleA, GetStartupInfoA, CreateFileA, ReadFile, CloseHandle, GetSystemDirectoryA, GetShortPathNameA, lstrcatA
> USER32.dll: SetWindowsHookExA, UnhookWindowsHookEx, wsprintfA
> ADVAPI32.dll: RegOpenKeyExA, RegSetValueExA, RegCloseKey, RegCreateKeyA, RegQueryValueExA
> SHELL32.dll: SHChangeNotify, ShellExecuteExA
> MSVCP60.dll: __C@_1___Nullstr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@CAPBDXZ@4DB, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIPBDII@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV01@@Z, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@ABV12@II@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __Eos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXI@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, __Copy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXI@Z, __Xlen@std@@YAXXZ, __Grow@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAE_NI_N@Z, __Split@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXXZ, __Xran@std@@YAXXZ, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, __Freeze@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXXZ, _max_size@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIXZ
> WININET.dll: InternetOpenA, InternetOpenUrlA, InternetReadFile, InternetCloseHandle, InternetGetConnectedState
> MSVCRT.dll: __setusermatherr, _adjust_fdiv, __p__commode, _controlfp, _initterm, __getmainargs, __p__fmode, _except_handler3, _acmdln, __set_app_type, __CxxFrameHandler, memmove, _snprintf, atoi, __2@YAPAXI@Z, strstr, free, __dllonexit, _onexit, _exit, _XcptFilter, exit

Utilisateur anonyme · Answer

hé bé c est une sale bette didon

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau : 
http://oldtimer.geekstogo.com/OTMoveIt3.exe 

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe 

:files 
c:\windows\system32\uniq.tll 
c:\windows\system32
tdll64.exe 
c:\windows\system32\ahtn.htm 
c:\windows\system32\win32hlp.cnf 
c:\windows\system32	est.ttt 

:commands 
[emptytemp] 
[start explorer] 
[reboot] 




---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Venisia54 · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
c:\windows\system32\uniq.tll moved successfully.
c:\windows\system32
tdll64.exe moved successfully.
c:\windows\system32\ahtn.htm moved successfully.
c:\windows\system32\win32hlp.cnf moved successfully.
c:\windows\system32	est.ttt moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\mousehook.dll scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DF8F07.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DF8F1B.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DF997F.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DF99A7.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11252008_181907

Files moved on Reboot...
DllUnregisterServer procedure not found in C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\mousehook.dll
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\mousehook.dll NOT unregistered.
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\mousehook.dll moved successfully.
File C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DF8F07.tmp not found!
File C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DF8F1B.tmp not found!
File C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DF997F.tmp not found!
File C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\~DF99A7.tmp not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

Utilisateur anonyme · Answer

réouvre hijackthis
fais scan only
coches ces lignes :


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://venisia.spaces.live.com/PhotoUpload/MsnPUpld.cab 
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab 
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab 
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab 
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp05.photoprintit.de/microsite/3462/defaults/activex/IPSUploader.cab 


tu les coches et tu clic sur fix checked


ensuite :


* pour supprimer les outils/fix utilisés : 

Télécharge ToolsCleaner sur ton bureau. 
--> 
http://pc-system.fr/ 
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Désactive et réactive ta restauration system :

(1) Désactiver la Restauration du système 

cliques sur Démarrer 
Cliques droit sur Poste de travail 
cliques sur Propriétés 
Cliques sur l'onglet Restauration du système 
Coches Désactiver la Restauration du système sur tous les lecteurs 
Cliques sur Appliquer, Lorsque le message de confirmation apparaît, 
cliques sur Oui. 
Cliques sur OK. 


(2) Activer la Restauration du système 


cliques sur Démarrer 
Cliques droit sur Poste de travail 
cliques sur Propriétés 
Cliques sur l'onglet Restauration du système 
Décoches Désactiver la Restauration du système sur tous les lecteurs 
Cliques sur Appliquer, Lorsque le message de confirmation apparaît, 
cliques sur Oui. 
Cliques sur OK. 


Tuto xp : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Venisia54 · Answer

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\FixWareOut: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\GenProc: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\GenProc\GenProc: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\utilitaire\HijackThis.lnk: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\utilitaire\FixWareout.exe: trouvé !
C:\Documents and Settings\Utilisateur\Mes documents\FixWareout.exe: trouvé !
C:\Documents and Settings\Utilisateur\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\C\SDFIX: trouvé !
C:\Qoobox\Quarantine\C\WINDOWS\ERUNT\SDFIX: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Utilisateur\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\utilitaire\HijackThis.lnk: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\utilitaire\FixWareout.exe: supprimé !
C:\Documents and Settings\Utilisateur\Mes documents\FixWareout.exe: supprimé !
C:\Documents and Settings\Utilisateur\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\FixWareOut: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\GenProc: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Utilisateur anonyme · Answer

Supprime combofix de ton bureau et ce dossier : C:\_OtMoveIt


si tu n as pas d autres soucis change le statut du sujet en resolu stp

http://www.commentcamarche.net/faq/sujet 11365 marquer un fil de discussion comme etant resolu

Venisia54 · Answer

Impossible de supprimer C:\_OtMoveIt

Utilisateur anonyme · Answer

Redémarre et réessai

Venisia54 · Answer

Merci beaucoup pour ton aide :)
Cela a l'air de fonctionner nikel :)
C'est sympa de m'avoir accordé autant de temps.

Utilisateur anonyme · Answer

de rien

bonne soirée 

@Pluche -;)

Venisia54 · Answer

Bon en faite non j'ai encore un petit probléme désolé :(
Quand j'allume le PC désormais aparait un icone utilisateur, j'ai beau cliquer dessus il se passe rien, je n'accéde pas au bureau ....
En lancant avast en mode sans echec il trouve win32:trojan-gen(other)

Utilisateur anonyme · Answer

RE

arff 

donc tu as acces au mode sans echec 

dans ce cas choisi avec prise en charge reseau et lance avast et post son rapport stp

Venisia54 · Answer

J'en ai pour la nuit il est qu'à 4 % lol :o

Utilisateur anonyme · Answer

LOL

oué avast n est pas reputé pour sa rapidité pour pas grand chose d ailleurs

Venisia54 · Answer

Faudrait peut-être que j'utilise MalwareBytes' Anti Malware alors ?

Utilisateur anonyme · Answer

oué tu peux le lancer en parrallele

fais l examen rapide

Venisia54 · Answer

ok je vais faire cela

Venisia54 · Answer

Quand Avast est terminé je retourne sur l icone utilisateur et je peux toujours rien faire :(
Je relance Malware en mode sans echec sur le compte utilisateur cette fois ci

Utilisateur anonyme · Answer

re

tu peux réessayer sdfix stp

Venisia54 · Answer

Ok vais réessayer cela

Venisia54 · Answer

Voilà en faite mon probléme en un peu plus clair lol :)
avant quand j'allumais l'ordinateur il s'ouvrait directement sur mon bureau pas de passage par session, maintenant il m'ouvre la page où je dois cliquer sur l'icone utilisateur, et quand je clique dessus il enregistre paramètre se connecte et directement marque déconnection et c'est reparti plus moyen d'accèder à la session.

Utilisateur anonyme · Answer

ouais j avais bien compris t as passé sdfix ?

Venisia54 · Answer

Oui mais impossible d'avoir le rapport, je le relance là SDFix

Venisia54 · Answer

Cela fait 15 mins que j'attend le rapport lol ....

Venisia54 · Answer

Voilà le rapport de 21:06 que je viens seulement d'avoir lol....
[b]SDFix: Version 1.240 [/b]
Run by Utilisateur on 25/11/2008 at 21:06

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Sinon je n'ai rien d autre

Venisia54 · Answer

Help please je deviens folle lol !!

Utilisateur anonyme · Answer

# Télécharge ceci: (merci a S!RI pour ce petit programme). 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe 

Exécute le, Double click sur Smitfraudfix.exe choisit l’option 1, 
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php 
il va générer un rapport : copie/colle le sur le poste stp.

Venisia54 · Answer

Ok merci beaucoup pour ton aide je commençais à devenir folle avec ce PC lol :)

Venisia54 · Answer

Bonjour, 
Voici le rapport :)
SmitFraudFix v2.378

Rapport fait à 13:10:58,92, 26/11/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\userinit.exe infecté !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

Utilisateur anonyme · Answer

re

il est là le soucis : userinit.exe infecté ! 

c est un fichier system


# Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
---------------------------------------------------------------------------- 
# Relance le programme Smitfraud : 
Cette fois choisit l’option 2, répond oui a tous ; 
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

Venisia54 · Answer

SmitFraudFix v2.378

Rapport fait à 13:33:29,82, 26/11/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

Remplacement C:\WINDOWS\system32\userinit.exe
Remplacement C:\WINDOWS\system32\userinit.exe
Problème remplacement C:\WINDOWS\system32\userinit.exe

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK

Venisia54 · Answer

Maintenant ça me dit impossible d'ouvrir une session car il y'a une limitation des comptes ....

Venisia54 · Answer

J'ai refais un nouveau rapport et cela me redit que userinit.exe est infecté ....

Venisia54 · Answer

help please :(

Venisia54 · Answer

Apparement c'est du à un Trojan.BHO mais impossible de l'enlever il revient toujours :(

Utilisateur anonyme · Answer

re désolé du retard


je vais exposé ton^probleme a un autre membre du forum , lyonnais92 , il risque de passer et te donner des instructions

de plus tes rapports vont etre communiqué aux auteurs d outils tel que SR!RI (auteur de smithfraud)


attend de nos news

Venisia54 · Answer

Pas de probléme :) Merci

Lyonnais92 · Answer

Bonjour,

remarque préalable : ta version de Windows est illégitime. en conséquence, personne ne maîtrise sa réaction aux outils.

===============================

si j'ai bien compris, tu ne peux pas démarrer en mode normal mais en mode sans échec.

Peux tu démarrer en mode sans échec avec prise en charge réseau ? si oui, fais le.

Tu es sur ta session ou sur la session Administrateur ?

==================================
>Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\userinit.exe 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

===================================

Recherche toutes les occurences de userinit sur l'ordi :

Clix droit sur Démarrer, Rechercher.

Tu mets userinit.* dans la zone de recherche

et ry choisis poste de travail comme zone de recherche.

Donne moi le nom complet de tout ce que tu trouves.

Si tu en trouves un seul, as tu un CD de Windows ?

Si oui, tu le mets dans le lecteur et tu fais la même recherche sur le CD.

===================================
Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


Une fois le téléchargement achevé, dézippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Venisia54 · Answer

heu mon mari me dit que c'est une vraie version et qu'il l'a acheté en magasin  ....
J'en sais rien, il me demande pas (pour la sessions)

jojodu74 · Answer

marque sur google virus alerte vers l'horloge il ya un forum resolu
j'ai fais ca ca a marcher

Utilisateur anonyme · Answer

re venisia 

passe a la suite

Venisia54 · Answer

re comment ça passe à la suite  ? :)

Utilisateur anonyme · Answer

fais ceci :


================================== 
>Affiche tous les fichiers et dossiers : 
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage 

[Coche] « afficher les dossiers et fichiers cachés » 

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » 

[Décoche] « masquer les extensions dont le type est connu » 

Puis fais [appliquer] pour valider les changements. 

Et [Ok] 
. 

======================================= 

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\userinit.exe 

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

=================================== 

Recherche toutes les occurences de userinit sur l'ordi : 

Clix droit sur Démarrer, Rechercher. 

Tu mets userinit.* dans la zone de recherche 

et ry choisis poste de travail comme zone de recherche. 

Donne moi le nom complet de tout ce que tu trouves. 

Si tu en trouves un seul, as tu un CD de Windows ? 

Si oui, tu le mets dans le lecteur et tu fais la même recherche sur le CD. 

=================================== 
Ouvre ce lien et télécharge ZHPDiag : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


Une fois le téléchargement achevé, dézippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau. 

Double-clique sur l'icône pour lancer le programme. 

Clique sur Tous pour cocher toutes les cases des options. 

Clique sur la loupe pour lancer l'analyse. 

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau. 

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse

Venisia54 · Answer

je suis entrain de le faire :)

Utilisateur anonyme · Answer

oki parfait

biz

Venisia54 · Answer

AhnLab-V3 2008.11.24.3 2008.11.26 Win-Trojan/Img-wmf.86016 
AntiVir 7.9.0.35 2008.11.26 TR/Drop.Mstig.A 
Authentium 5.1.0.4 2008.11.26 - 
Avast 4.8.1281.0 2008.11.26 Win32:Trojan-gen {Other} 
AVG 8.0.0.199 2008.11.26 SHeur2.BQY 
BitDefender 7.2 2008.11.26 - 
CAT-QuickHeal 10.00 2008.11.26 - 
ClamAV 0.94.1 2008.11.26 - 
DrWeb 4.44.0.09170 2008.11.26 DLOADER.Trojan 
eSafe 7.0.17.0 2008.11.25 Win32.Agent.eyc 
eTrust-Vet 31.6.6228 2008.11.26 Win32/FakeAlert.QR 
Ewido 4.0 2008.11.26 - 
F-Prot 4.4.4.56 2008.11.25 - 
F-Secure 8.0.14332.0 2008.11.26 Exploit.Win32.IMG-WMF.hf 
Fortinet 3.117.0.0 2008.11.26 PossibleThreat 
GData 19 2008.11.26 Win32:Trojan-gen {Other} 
Ikarus T3.1.1.45.0 2008.11.26 Trojan.Win32.Fakeinit 
K7AntiVirus 7.10.534 2008.11.26 Trojan.Win32.Malware.1 
Kaspersky 7.0.0.125 2008.11.26 Exploit.Win32.IMG-WMF.hf 
McAfee 5445 2008.11.25 Generic.dx 
McAfee+Artemis 5445 2008.11.25 Generic.dx 
Microsoft 1.4104 2008.11.26 Trojan:Win32/Fakeinit 
NOD32 3643 2008.11.26 Win32/TrojanDownloader.FakeAlert.QT 
Norman 5.80.02 2008.11.26 - 
Panda 9.0.0.4 2008.11.25 Adware/WebSearch 
PCTools 4.4.2.0 2008.11.26 Trojan.BHO!sd6 
Prevx1 V2 2008.11.26 - 
Rising 21.05.22.00 2008.11.26 - 
SecureWeb-Gateway 6.7.6 2008.11.26 Trojan.Agent.imw 
Sophos 4.35.0 2008.11.26 - 
Sunbelt 3.1.1830.2 2008.11.26 - 
Symantec 10 2008.11.26 Trojan Horse 
TheHacker 6.3.1.1.163 2008.11.25 - 
TrendMicro 8.700.0.1004 2008.11.26 TROJ_DLOAD.LU 
VBA32 3.12.8.9 2008.11.26 Exploit.Win32.IMG-WMF.hu 
ViRobot 2008.11.26.1487 2008.11.26 - 
VirusBuster 4.5.11.0 2008.11.26 - 
Information additionnelle 
File size: 86016 bytes 
MD5...: 3e54b34e017b03f3a4df17634488cd9e 
SHA1..: 041a064cf3e9cbbe7b3e116d1b6efec1e0be0101 
SHA256: 4056db8790d8154a808a0017a3fb6586510b62e55a75370ad9807065111b62c5 
SHA512: 0ef4bcbfc9f263fdbcfc966ee62786d5d25d5d8a2ae98e53ae21949cdbc6c9a4
0bc3eec5175d2d5391e0ae1cee6ce97d5d07abc544180b6d702f1bde76b0de89
 
ssdeep: 1536:T727NGtQkU3HlNuYOD0cWENIlCjNpapX5xBt7Yw0pewn8++:HUNGtk3FNut
D0cWENIyNpa5bzkSt++
 
PEiD..: Armadillo v1.71 
TrID..: File type identification
Windows OCX File (51.7%)
Win32 Executable MS Visual C++ (generic) (15.8%)
UPX compressed Win32 Executable (12.8%)
Win32 EXE Yoda's Crypter (11.1%)
Win32 Executable Generic (3.5%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4031a4
timedatestamp.....: 0x491eb2b2 (Sat Nov 15 11:29:54 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x254b 0x2600 6.13 b237525c8d12f5c09cc2fe74c586c6b8
.rdata 0x4000 0xf90 0x1000 5.15 b399d46d5f500bef822ebd60c1b9398f
.data 0x5000 0x11564 0x11600 6.33 a0686ebe6624a715ebcc7fd939065ff4

( 7 imports ) 
> KERNEL32.dll: WaitForSingleObject, GetLastError, CreateMutexA, GetProcAddress, LoadLibraryA, GetTempPathA, CreateProcessA, CreateProcessW, ExitProcess, TerminateProcess, SetProcessPriorityBoost, SetThreadPriority, GetCurrentThread, SetPriorityClass, GetCurrentProcess, GetEnvironmentVariableA, WriteFile, GetModuleFileNameA, WinExec, DeleteFileA, lstrcpyA, SetFilePointer, GetFileSize, CopyFileW, GetModuleFileNameW, MoveFileW, lstrcatW, lstrcpyW, GetSystemDirectoryW, LoadLibraryW, Sleep, GetCommandLineA, GetModuleHandleA, GetStartupInfoA, CreateFileA, ReadFile, CloseHandle, GetSystemDirectoryA, GetShortPathNameA, lstrcatA
> USER32.dll: SetWindowsHookExA, UnhookWindowsHookEx, wsprintfA
> ADVAPI32.dll: RegOpenKeyExA, RegSetValueExA, RegCloseKey, RegCreateKeyA, RegQueryValueExA
> SHELL32.dll: SHChangeNotify, ShellExecuteExA
> MSVCP60.dll: __C@_1___Nullstr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@CAPBDXZ@4DB, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIPBDII@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV01@@Z, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@ABV12@II@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __Eos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXI@Z, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, __Copy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXI@Z, __Xlen@std@@YAXXZ, __Grow@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAE_NI_N@Z, __Split@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXXZ, __Xran@std@@YAXXZ, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, __Freeze@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXXZ, _max_size@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIXZ
> WININET.dll: InternetOpenA, InternetOpenUrlA, InternetReadFile, InternetCloseHandle, InternetGetConnectedState
> MSVCRT.dll: __setusermatherr, _adjust_fdiv, __p__commode, _controlfp, _initterm, __getmainargs, __p__fmode, _except_handler3, _acmdln, __set_app_type, __CxxFrameHandler, memmove, _snprintf, atoi, __2@YAPAXI@Z, strstr, free, __dllonexit, _onexit, _exit, _XcptFilter, exit

( 0 exports ) 

*****************************************************


USERINIT.EXE_ dans le dossier D:\I386
userinit.exe dans le dossier C:\WINDOWS\system32
userinit.exe dans le dossier C:\WINWOWS\ServicePackFiles


************************************************************

Rapport de ZHPDiag v1.16 par Nicolas Coolman
Enregistré le 26/11/2008 18:23:57
Platform : Microsoft Windows XP (5.1.2600) Service Pack 3
MSIE: Internet Explorer v7.0.5730.13

---\ Processus lancés
C:\Program Files\Analog Devices\Core\smax4pnp.exe
nwiz.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\CyberLink\PowerDVD\Language\Language.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
cmd.exe
C:\WINDOWS\System32\appdrvrem01.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Windows Defender\MsMpEng.exe

---\ Pages de démarrage d'Internet Explorer (R0)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

---\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm

---\ Browser Helper Objects de navigateur (O2)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

---\ Applications démarrées automatiquement par le registre (O4)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp"
O4 - HKCU\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg
O4 - HKCU\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S
O4 - HKLM\..\policies\Explorer: [NoDriveTypeAutoRun] Data="227"
O4 - HKLM\..\policies\Explorer: [NoDrives] Data="0"
O4 - HKLM\..\policies\Explorer: [NoDriveAutoRun] Data="67108863"

---\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra button: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe,302
O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe,302

---\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

---\ Protocole additionnel et piratage de protocole (O18)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

---\ Valeur de registre AppInit_DLLs et sous-clés Winlogon Notify (O20)
O20 - Winlogon Notify: WlDimsStartup - C:\WINDOWS\System32\%SystemRoot%\System32\dimsntfy.dll

---\ Services NT non Microsoft et non désactivés (O23)
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - C:\WINDOWS\System32\appdrvrem01.exe svc
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus (avast! Antivirus) - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA (PnkBstrA) - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Spouleur d'impression (Spooler) - C:\WINDOWS\system32\spoolsv.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - C:\WINDOWS\system32\wdfmgr.exe
O23 - Service: Windows Defender (WinDefend) - C:\Program Files\Windows Defender\MsMpEng.exe

---\ Composants installés (ActiveSetup Installed Components) (O40)
O40 - ASIC: IE7 Uninstall Stub - <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
O40 - ASIC: Lecteur Windows Media - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
O40 - ASIC: Internet Explorer - {26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE
O40 - ASIC: Browser Customizations - {60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
O40 - ASIC: Personnalisation du navigateur - {60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
O40 - ASIC: Outlook Express - {881dd1c5-3dcf-431b-b061-f3f88e8be88a} - C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE
O40 - ASIC: Rendu VML (Vector Graphics Rendering) - {10072CEC-8CC1-11D1-986E-00A0C955B42F} - (not file)
O40 - ASIC: Microsoft NetShow Player - {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - C:\WINDOWS\system32\wmpdxm.dll
O40 - ASIC: Lecteur Windows Media Microsoft 6.4 - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\system32\wmpdxm.dll
O40 - ASIC: DirectAnimation - {283807B5-2C60-11D0-A31D-00AA00B92C03} - (not file)
O40 - ASIC: Themes Setup - {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - C:\WINDOWS\system32egsvr32.exe /s /n /i:/UserInstall C:\WINDOWS\system32	hemeui.dll
O40 - ASIC: Liaison de données Dynamic HTML pour Java - {36f8ec70-c29a-11d1-b5c7-0000f8051515} - (not file)
O40 - ASIC: Offline Browsing Pack - {3af36230-a269-11d1-b5bf-0000f8051515} - (not file)
O40 - ASIC: Uniscribe - {3bf42070-b3b1-11d1-b5c5-0000f8051515} - (not file)
O40 - ASIC: Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) - {411EDCF7-755D-414E-A74B-3DCD6583F589} - (not file)
O40 - ASIC: Création avancée - {4278c270-a269-11d1-b5bf-0000f8051515} - (not file)
O40 - ASIC: Microsoft Outlook Express 6 - {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
O40 - ASIC: NetMeeting 3.01 - {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
O40 - ASIC: DirectShow - {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - (not file)
O40 - ASIC: DirectDrawEx - {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - (not file)
O40 - ASIC: Internet Explorer Help - {45ea75a0-a269-11d1-b5bf-0000f8051515} - (not file)
O40 - ASIC: Classes Java DirectAnimation - {4f216970-c90c-11d1-b5c7-0000f8051515} - (not file)
O40 - ASIC: Microsoft Windows Script 5.7 - {4f645220-306d-11d2-995d-00c04f98bbc9} - (not file)
O40 - ASIC: Windows Messenger 4.7 - {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
O40 - ASIC: (no name) - {5A8D6EE0-3E18-11D0-821E-444553540000} - (not file)
O40 - ASIC: Internet Explorer Setup Tools - {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Browsing Enhancements - {630b1da0-b465-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Microsoft Windows Media Player - {6BF52A52-394A-11d3-B153-00C04F79FAA6} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub
O40 - ASIC: MSN Site Access - {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - (not file)
O40 - ASIC: .NET Framework - {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - (not file)
O40 - ASIC: Carnet d'adresses 6 - {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
O40 - ASIC: Mise à jour du Bureau Windows - {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
O40 - ASIC: Internet Explorer - {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
O40 - ASIC: (no name) - {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
O40 - ASIC: Microsoft .NET Framework 1.1 Hotfix (KB928366) - {8D1D0E9A-C799-4D28-9E29-0061D1E66E43} - (not file)
O40 - ASIC: Dynamic HTML Data Binding - {9381D8F2-0288-11D0-9501-00AA00B911A5} - (not file)
O40 - ASIC: .NET Framework - {B508B3F1-A24A-32C0-B310-85786919EF28} - (not file)
O40 - ASIC: Internet Explorer Core Fonts - {C9E9A340-D1F1-11D0-821E-444553540600} - (not file)
O40 - ASIC: .NET Framework - {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - (not file)
O40 - ASIC: Planificateur de tâches - {CC2A9BA0-3BDD-11D0-821E-444553540000} - (not file)
O40 - ASIC: (no name) - {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - (not file)
O40 - ASIC: Adobe Flash Player - {D27CDB6E-AE6D-11cf-96B8-444553540000} - C:\WINDOWS\system32\Macromed\Flash\Flash9e.ocx
O40 - ASIC: HTML Help - {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - (not file)
O40 - ASIC: Active Directory Service Interface - {E92B03AB-B707-11d2-9CBD-0000F87A369E} - (not file)

---\ Pilotes lancés au démarrage (O41)
O41 - Driver: ADI UAA Function Driver for High Definition Audio Service (ADIHdAudAddService) - C:\WINDOWS\system32\drivers\ADIHdAud.sys
O41 - Driver: AE Audio Service (AEAudio) - C:\WINDOWS\system32\drivers\AEAudio.sys
O41 - Driver: Suppresseur d'écho acoustique (Noyau Microsoft) (aec) - C:\WINDOWS\system32\drivers\aec.sys
O41 - Driver: Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X (AN983) - C:\WINDOWS\system32\DRIVERS\AN983.sys
O41 - Driver: Application Driver (01) (appdrv01) - C:\WINDOWS\System32\Drivers\appdrv01.sys
O41 - Driver: Pilote de média asynchrone RAS (AsyncMac) - C:\WINDOWS\system32\DRIVERS\asyncmac.sys
O41 - Driver: atksgt (atksgt) - C:\WINDOWS\system32\DRIVERS\atksgt.sys
O41 - Driver: Protocole client ATM ARP (Atmarpc) - C:\WINDOWS\system32\DRIVERS\atmarpc.sys
O41 - Driver: Pilote audio Stub (audstub) - C:\WINDOWS\system32\DRIVERS\audstub.sys
O41 - Driver: Décodeur sous-titre fermé (CCDECODE) - C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
O41 - Driver: (no object) (dmboot) - C:\WINDOWS\System32\drivers\dmboot.sys
O41 - Driver: (no object) (dmio) - C:\WINDOWS\System32\drivers\dmio.sys
O41 - Driver: (no object) (dmload) - C:\WINDOWS\System32\drivers\dmload.sys
O41 - Driver: Synthétiseur DLS du noyau Microsoft (DMusic) - C:\WINDOWS\system32\drivers\DMusic.sys
O41 - Driver: Filtre de décodeur DRM (Noyau Microsoft) (drmkaud) - C:\WINDOWS\system32\drivers\drmkaud.sys
O41 - Driver: FltMgr (FltMgr) - C:\WINDOWS\system32\drivers\fltmgr.sys
O41 - Driver: Classificateur de paquets générique (Gpc) - C:\WINDOWS\system32\DRIVERS\msgpc.sys
O41 - Driver: Pilote de bus Microsoft UAA pour High Definition Audio (HDAudBus) - C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
O41 - Driver: Pilote de classe HID Microsoft (HidUsb) - C:\WINDOWS\system32\DRIVERS\hidusb.sys
O41 - Driver: Pilote pour clavier i8042 et souris sur port PS/2 (i8042prt) - C:\WINDOWS\system32\DRIVERS\i8042prt.sys
O41 - Driver: Pilote de processeur Intel (intelppm) - C:\WINDOWS\system32\DRIVERS\intelppm.sys
O41 - Driver: Pilote du pare-feu Windows IPv6 (Ip6Fw) - C:\WINDOWS\system32\drivers\ip6fw.sys
O41 - Driver: Pilote de filtre de trafic IP (IpFilterDriver) - C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
O41 - Driver: Pilote de tunnelage IP dans IP (IpInIp) - C:\WINDOWS\system32\DRIVERS\ipinip.sys
O41 - Driver: Pilote IPSEC (IPSec) - C:\WINDOWS\system32\DRIVERS\ipsec.sys
O41 - Driver: Service énumérateur IR (IRENUM) - C:\WINDOWS\system32\DRIVERS\irenum.sys
O41 - Driver: Pilote HID de clavier (kbdhid) - C:\WINDOWS\system32\DRIVERS\kbdhid.sys
O41 - Driver: Mélangeur audio Wave de noyau Microsoft (kmixer) - C:\WINDOWS\system32\drivers\kmixer.sys
O41 - Driver: lirsgt (lirsgt) - C:\WINDOWS\system32\DRIVERS\lirsgt.sys
O41 - Driver: Pilote HID de souris (mouhid) - C:\WINDOWS\system32\DRIVERS\mouhid.sys
O41 - Driver: Redirecteur client WebDav (MRxDAV) - C:\WINDOWS\system32\DRIVERS\mrxdav.sys
O41 - Driver: MRXSMB (MRxSmb) - C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
O41 - Driver: Proxy de service de répartition Microsoft (MSKSSRV) - C:\WINDOWS\system32\drivers\MSKSSRV.sys
O41 - Driver: Proxy d'horloge de répartition Microsoft (MSPCLOCK) - C:\WINDOWS\system32\drivers\MSPCLOCK.sys
O41 - Driver: Proxy de gestion de qualité de répartition Microsoft (MSPQM) - C:\WINDOWS\system32\drivers\MSPQM.sys
O41 - Driver: Pilote BIOS de gestion de systèmes Microsoft (mssmbios) - C:\WINDOWS\system32\DRIVERS\mssmbios.sys
O41 - Driver: Convertisseur en T/site-à-site de répartition Microsoft (MSTEE) - C:\WINDOWS\system32\drivers\MSTEE.sys
O41 - Driver: ATK0110 ACPI UTILITY (MTsensor) - C:\WINDOWS\system32\DRIVERS\ASACPI.sys
O41 - Driver: Codec NABTS/FEC VBI (NABTSFEC) - C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
O41 - Driver: Connection TV/vidéo Microsoft (NdisIP) - C:\WINDOWS\system32\DRIVERS\NdisIP.sys
O41 - Driver: Pilote TAPI NDIS d'accès distant (NdisTapi) - C:\WINDOWS\system32\DRIVERS
distapi.sys
O41 - Driver: NDIS mode utilisateur E/S Protocole (Ndisuio) - C:\WINDOWS\system32\DRIVERS
disuio.sys
O41 - Driver: Pilote réseau étendu NDIS d'accès distant (NdisWan) - C:\WINDOWS\system32\DRIVERS
diswan.sys
O41 - Driver: Interface NetBIOS (NetBIOS) - C:\WINDOWS\system32\DRIVERS
etbios.sys
O41 - Driver: NetBIOS sur TCP/IP (NetBT) - C:\WINDOWS\system32\DRIVERS
etbt.sys
O41 - Driver: (no object) (nv) - C:\WINDOWS\system32\DRIVERS
v4_mini.sys
O41 - Driver: Pilote de filtre de trafic IPX (NwlnkFlt) - C:\WINDOWS\system32\DRIVERS
wlnkflt.sys
O41 - Driver: Pilote de transfert de trafic IPX (NwlnkFwd) - C:\WINDOWS\system32\DRIVERS
wlnkfwd.sys
O41 - Driver: PCAMPR5 NDIS Protocol Driver (PCAMPR5) - C:\WINDOWS\system32\PCAMPR5.SYS
O41 - Driver: PCANDIS5 NDIS Protocol Driver (PCANDIS5) - C:\WINDOWS\system32\PCANDIS5.SYS
O41 - Driver: Miniport réseau étendu (PPTP) (PptpMiniport) - C:\WINDOWS\system32\DRIVERSaspptp.sys
O41 - Driver: Planificateur de paquets QoS (PSched) - C:\WINDOWS\system32\DRIVERS\psched.sys
O41 - Driver: Pilote de liaison parallèle directe (Ptilink) - C:\WINDOWS\system32\DRIVERS\ptilink.sys
O41 - Driver: Pilote de connexion automatique d'accès distant (RasAcd) - C:\WINDOWS\system32\DRIVERSasacd.sys
O41 - Driver: Miniport réseau étendu (L2TP) (Rasl2tp) - C:\WINDOWS\system32\DRIVERSasl2tp.sys
O41 - Driver: Pilote PPPOE d'accès à distance (RasPppoe) - C:\WINDOWS\system32\DRIVERSaspppoe.sys
O41 - Driver: Parallèle direct (Raspti) - C:\WINDOWS\system32\DRIVERSaspti.sys
O41 - Driver: Rdbss (Rdbss) - C:\WINDOWS\system32\DRIVERSdbss.sys
O41 - Driver: Pilote de filtre de lecture digitale de CD audio (redbook) - C:\WINDOWS\system32\DRIVERSedbook.sys
O41 - Driver: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
O41 - Driver: Secdrv (Secdrv) - C:\WINDOWS\system32\DRIVERS\secdrv.sys
O41 - Driver: SenFilt Service (SenFiltService) - C:\WINDOWS\system32\drivers\Senfilt.sys
O41 - Driver: Pilote de filtre Serenum (serenum) - C:\WINDOWS\system32\DRIVERS\serenum.sys
O41 - Driver: Détrameur décalage BDA (SLIP) - C:\WINDOWS\system32\DRIVERS\SLIP.sys
O41 - Driver: Splitter audio du noyau Microsoft (splitter) - C:\WINDOWS\system32\drivers\splitter.sys
O41 - Driver: (no object) (sptd) - C:\WINDOWS\System32\Drivers\sptd.sys
O41 - Driver: DualCamera (SQTECH905C) - C:\WINDOWS\System32\Drivers\Capt905c.sys
O41 - Driver: Pilote de filtre de restauration système (sr) - C:\WINDOWS\system32\DRIVERS\sr.sys
O41 - Driver: Srv (Srv) - C:\WINDOWS\system32\DRIVERS\srv.sys
O41 - Driver: BDA IPSink (streamip) - C:\WINDOWS\system32\DRIVERS\StreamIP.sys
O41 - Driver: Pilote de bus logiciel (swenum) - C:\WINDOWS\system32\DRIVERS\swenum.sys
O41 - Driver: Synthétiseur de table de sons GC noyau Microsoft (swmidi) - C:\WINDOWS\system32\drivers\swmidi.sys
O41 - Driver: Périphérique audio système du noyau Microsoft (sysaudio) - C:\WINDOWS\system32\drivers\sysaudio.sys
O41 - Driver: Pilote du protocole TCP/IP (Tcpip) - C:\WINDOWS\system32\DRIVERS	cpip.sys
O41 - Driver: Pilote de mise à jour microcode (Update) - C:\WINDOWS\system32\DRIVERS\update.sys
O41 - Driver: Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0 (usbehci) - C:\WINDOWS\system32\DRIVERS\usbehci.sys
O41 - Driver: Pilote de concentrateur standard USB Microsoft (usbhub) - C:\WINDOWS\system32\DRIVERS\usbhub.sys
O41 - Driver: Pilote de stockage de masse USB (USBSTOR) - C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
O41 - Driver: Pilote miniport de contrôleur hôte universel USB Microsoft (usbuhci) - C:\WINDOWS\system32\DRIVERS\usbuhci.sys
O41 - Driver: Pilote ARP IP d'accès distant (Wanarp) - C:\WINDOWS\system32\DRIVERS\wanarp.sys
O41 - Driver: Pilote WINMM de compatibilité audio WDM Microsoft (wdmaud) - C:\WINDOWS\system32\drivers\wdmaud.sys
O41 - Driver: Logitech Virtual Bus Enumerator Driver (WmBEnum) - C:\WINDOWS\system32\drivers\WmBEnum.sys
O41 - Driver: Logitech WingMan HID Filter Driver (WmFilter) - C:\WINDOWS\system32\drivers\WmFilter.sys
O41 - Driver: Logitech Virtual Hid Device Driver (WmVirHid) - C:\WINDOWS\system32\drivers\WmVirHid.sys
O41 - Driver: Logitech WingMan Translation Layer Driver (WmXlCore) - C:\WINDOWS\system32\drivers\WmXlCore.sys
O41 - Driver: Codec Teletext standard (WSTCODEC) - C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS

---\ Logiciels installés (O42)
O42 - Logiciel: Adobe Flash Player ActiveX
O42 - Logiciel: avast! Antivirus
O42 - Logiciel: AviSplit Classic Version 1.43
O42 - Logiciel: Battleground Europe: WWIIOL 
O42 - Logiciel: CCleaner (remove only)
O42 - Logiciel: Curse Client
O42 - Logiciel: Ducs et Mercenaires 1.2
O42 - Logiciel: EB Documentation 1.1
O42 - Logiciel: EB Trivial Script 0.125
O42 - Logiciel: Navigateur Orange
O42 - Logiciel: Gestionnaire Internet
O42 - Logiciel: GUILD WARS
O42 - Logiciel: HijackThis 2.0.2
O42 - Logiciel: Microsoft Internationalized Domain Names Mitigation APIs
O42 - Logiciel: Windows Internet Explorer 7
O42 - Logiciel: Rome - Total War(TM)
O42 - Logiciel: Call of Duty(R) - World at War(TM) 1.1 Patch
O42 - Logiciel: Far Cry
O42 - Logiciel: Call of Duty(R) - World at War(TM)
O42 - Logiciel: High Definition Audio Driver Package - KB888111
O42 - Logiciel: Windows Genuine Advantage Validation Tool (KB892130)
O42 - Logiciel: K-Lite Codec Pack 3.6.5 Full
O42 - Logiciel: Microsoft .NET Framework 1.1 Hotfix (KB928366)
O42 - Logiciel: Malwarebytes' Anti-Malware
O42 - Logiciel: Microsoft .NET Framework 1.1
O42 - Logiciel: Mount&Blade
O42 - Logiciel: Mumble and Murmur
O42 - Logiciel: Microsoft National Language Support Downlevel APIs
O42 - Logiciel: NVIDIA Drivers
O42 - Logiciel: OpenAL
O42 - Logiciel: PlayGATE Setup
O42 - Logiciel: PunkBuster Services
O42 - Logiciel: RealPlayer
O42 - Logiciel: Recruitment Viewer 0.9
O42 - Logiciel: Macromedia Flash Player 8
O42 - Logiciel: Spybot - Search & Destroy 1.4
O42 - Logiciel: TeamSpeak 2 RC2
O42 - Logiciel: TubeMaster
O42 - Logiciel: VideoLAN VLC media player 0.8.6d
O42 - Logiciel: Warhammer Online: Age of Reckoning
O42 - Logiciel: Windows Imaging Component
O42 - Logiciel: Windows Media Format Runtime
O42 - Logiciel: Windows XP Service Pack 3
O42 - Logiciel: Archiveur WinRAR
O42 - Logiciel: XML Paper Specification Shared Components Pack 1.0
O42 - Logiciel: Crysis(R)
O42 - Logiciel: Nero 7 Essentials
O42 - Logiciel: Microsoft .NET Framework 3.0 Service Pack 1
O42 - Logiciel: Dead Space™
O42 - Logiciel: GRID
O42 - Logiciel: PowerDVD
O42 - Logiciel: Microsoft Visual C++ 2005 Redistributable
O42 - Logiciel: Ventrilo Client
O42 - Logiciel: Microsoft Games for Windows - LIVE Redistributable
O42 - Logiciel: Europa Barbarorum 1.1
O42 - Logiciel: Rome Total War - patch 1.3
O42 - Logiciel: Galerie de photos Windows Live
O42 - Logiciel: Assistant de connexion Windows Live
O42 - Logiciel: Microsoft .NET Framework 2.0 Service Pack 1
O42 - Logiciel: Apple Software Update
O42 - Logiciel: Logitech Gaming Software
O42 - Logiciel: Windows Live Messenger
O42 - Logiciel: Windows Presentation Foundation
O42 - Logiciel: REALTEK GbE & FE Ethernet PCI-E NIC Driver
O42 - Logiciel: Microsoft SQL Server 2005 Compact Edition [ENU]
O42 - Logiciel: The Witcher
O42 - Logiciel: EasyCleaner
O42 - Logiciel: Windows Live installer
O42 - Logiciel: MSXML 6.0 Parser (KB925673)
O42 - Logiciel: Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî [v1.0003]

---\ Contenu des dossiers Fichiers Communs (O43)
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Ahead
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\InstallShield
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\LightScribe
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Logitech
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Microsoft Shared
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\MSSoap
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\ODBC
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Real
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Services
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\SpeechEngines
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\SWF Studio
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\System
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\WindowsLiveInstaller
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Wise Installation Wizard
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\xing shared

---\ Derniers fichiers modifiés ou crées sous System32 (O44)
O44 - LFC:Last File Created - C:\WINDOWS\System32\appdrvrem01.exe -->06/09/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\aswBoot.exe -->18/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\AvastSS.scr -->18/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\CmdLineExt.dll -->09/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\CONFIG.NT -->26/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\FNTCACHE.DAT -->25/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\IEDFix.C.exe -->10/10/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\ieframe.dll -->03/10/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\MRT.exe -->04/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\msxml3.dll -->04/09/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32
etapi32.dll -->15/10/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32
vapps.xml -->30/09/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\o4Patch.exe -->10/10/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\perfc009.dat -->10/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\perfc00C.dat -->10/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\perfh009.dat -->10/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\perfh00C.dat -->10/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\PerfStringBackup.INI -->10/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\spupdwxp.log -->06/09/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32	mp.reg -->26/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32	mp.txt -->26/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\userinit.exe -->24/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\VACFix.exe -->01/10/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\win32hlp.cnf -->26/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\win32k.sys -->15/09/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\wpa.dbl -->23/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\8d8b8bcd.sys -->25/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\aavmker4.sys -->18/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\appdrv01.sys -->06/09/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\aswFsBlk.sys -->18/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\aswmon.sys -->18/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\aswmon2.sys -->18/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\aswRdr.sys -->18/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\aswSP.sys -->18/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\aswTdi.sys -->18/11/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\mbam.sys -->22/10/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->22/10/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\mrxsmb.sys -->24/10/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\srv.sys -->08/09/2008

---\ Derniers fichiers créés dans Windows Prefetcher (O45)
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\AVAST.SETUP-032170A8.pf -->26/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\CGHTME.EXE-33B3FE87.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf -->26/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf -->26/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\DIVXSM.EXE-25FDFA2C.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\FIND.EXE-0EC32F1E.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\FINDSTR.EXE-0CA6274B.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\IEXPLORE.EXE-27122324.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\Layout.ini -->26/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\LOGON.SCR-151EFAEA.pf -->26/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\MPCMDRUN.EXE-1F9D1CA1.pf -->26/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\MSNMSGR.EXE-030AB647.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf -->26/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\PV.CFEXE-0E6F2701.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\REALPLAY.EXE-1BF219BD.pf -->23/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2E5AF1D7.pf -->24/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\SWREG.CFEXE-2BF4FFCD.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\USNSVC.EXE-2DF2835C.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\WAR.EXE-018EEF97.pf -->24/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\WARPATCH.BIN-2F33F39C.pf -->24/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\WARPATCH.EXE-372388C3.pf -->24/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\WINRAR.EXE-39C6DAD9.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf -->26/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\WMPLAYER.EXE-18DDEFA3.pf -->23/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\WMPLAYER.EXE-18DDEFA4.pf -->25/11/2008
O45 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf -->26/11/2008

---\ ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer (O46)
O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll

---\ Export de clé d'application autorisée (O47)
O47 - AAKE:Key Export - "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
O47 - AAKE:Key Export - "C:\Program Files\Valve\Steam\SteamAppsaknar\counter-strike source\hl2.exe"="C:\Program Files\Valve\Steam\SteamAppsaknar\counter-strike source\hl2.exe:*:Disabled:hl2"
O47 - AAKE:Key Export - "C:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe"="C:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe:*:Enabled:MSN"
O47 - AAKE:Key Export - "C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe"="C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe:*:Enabled:Crysis_32"
O47 - AAKE:Key Export - "C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"="C:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"
O47 - AAKE:Key Export - "C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
O47 - AAKE:Key Export - "C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
O47 - AAKE:Key Export - "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
O47 - AAKE:Key Export - "C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
O47 - AAKE:Key Export - "C:\Program Files\CRS\Battleground Europe\WW2_sse2.exe"="C:\Program Files\CRS\Battleground Europe\WW2_sse2.exe:*:Enabled:WW2"
O47 - AAKE:Key Export - "C:\Program Files\Codemasters\GRID\GRID.exe"="C:\Program Files\Codemasters\GRID\GRID.exe:*:Enabled:GRID"
O47 - AAKE:Key Export - "C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
O47 - AAKE:Key Export - "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
O47 - AAKE:Key Export - "C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
O47 - AAKE:Key Export - "C:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\xrEngine.exe"="C:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\xrEngine.exe:*:Enabled:Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî (CLI)"
O47 - AAKE:Key Export - "C:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\dedicated\xrEngine.exe"="C:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\dedicated\xrEngine.exe:*:Enabled:Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî (SRV)"
O47 - AAKE:Key Export - "C:\Program Files\Curse\CurseClient.exe"="C:\Program Files\Curse\CurseClient.exe:*:Enabled:Curse Client"
O47 - AAKE:Key Export - "C:\Program Files\Internet Explorer\iexplore.exe"="C:\Program Files\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
O47 - AAKE:Key Export - "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
O47 - AAKE:Key Export - "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
O47 - AAKE:Key Export - "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
O47 - AAKE:Key Export - "C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

---\ Déni du service Local Security Authority (LSA) (O48)
O48 - LSA:Local Security Authority Authentication Packages - C:\WINDOWS\System32\msv1_0.dll
O48 - LSA:Local Security Authority Notification Packages - C:\WINDOWS\System32\scecli.dll

---\ Contrôle du Safe Boot (CSB) (O49)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\vgasave.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\ip6fw.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\ipnat.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Networkdpcdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Networkdpdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Networkdpwd.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network	dpipe.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network	dtcp.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\vgasave.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Minimal\vgasave.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\ip6fw.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\ipnat.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Networkdpcdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Networkdpdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Networkdpwd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network	dpipe.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network	dtcp.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\vgasave.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Minimal\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Minimal\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Minimal\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Minimal\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Minimal\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Minimal\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Minimal\vgasave.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network\dmboot.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network\dmio.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network\dmload.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network\ip6fw.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network\ipnat.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Networkdpcdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Networkdpdd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Networkdpwd.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network\sermouse.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network\sr.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network	dpipe.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network	dtcp.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network\vga.sys
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network\vgasave.sys


End of the scan

Utilisateur anonyme · Answer

en attendant que l on regarde tes rapports

le pc a été acheté ou ? et quand ?

Venisia54 · Answer

Le PC a été acheté chez leclerc électro y'a un peu prés 4ans et il y'a 6 mois on a changé disque dur , carte mere, carte graphique, processeur chez password ou ils ont faite le montage aussi et m'ont juste demandé ma clé windows.

Utilisateur anonyme · Answer

oki

ils ont apparemment installé une version de windows frauduleuse

ceci en temoigne:

O4 - HKCU\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" 
O4 - HKCU\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg 
O4 - HKCU\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S 


je laisse la suite a lyonnais92 car je dois sortir (chercher mon bb)

bonne soirée

biz

Venisia54 · Answer

bonne soirée et merci pour ton aide :)
c'est toujours sympa d'aprendre que t'as de la .... ds ton PC alors que tu croyais que c'était du vrai.

Lyonnais92 · Answer

Re,

    Ouvre le registre et navigue avec les + et les - jusqu'à la clé

HKey_LocalMachine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

==============================

tu fais de même avec :


HKey_LocalMachine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

=================================
Télécharge DirLook de jpshortstuff ici :

http://jpshortstuff.247fixes.com/DirLook.exe

[*]Double-clique sur DirLook.exe pour le lancer.
[*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
[*]Copie le contenu de la boîte ci-dessous dans le champ texte principal :

c:\Documents and Settings 

[*]Clique sur le bouton DirLook pour lancer l'examen.
[*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé dans C:dl_log.txt

Venisia54 · Answer

Ok merci je vais faire cela :)
Désolé pour ma question bête mais je suis une novice lol , c'est ou le registre stp ? :)

Lyonnais92 · Answer

Re,

Démarrer, exécuter.

Tu tapes regedit dans la boîte de saisie puis OK, tu as ouvert l'éditeur de registre.

et tu fais les manips et tu postes les rapports demandés.

======================

ensuite :

supprime (si il existe Combofix.exe sur ton Bureau ainsi que le répertoire Qoobox à la racine du disque, en général C:\Qoobox).

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.
 


double-clique sur combofix.exe et suis les instructions

pour installer la Console de récupération.

N'exécute pas Combofix.

Dis moi seulement si l'installation de la Console s'est faite.

Venisia54 · Answer

merci bcp :)

Venisia54 · Answer

Bon je viens de finir seulement la première partie lol :)
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001
"DefaultDomainName"="LAMIELLE-E83988"
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="Explorer.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"SfcQuota"=dword:ffffffff
"allocatecdroms"="0"
"allocatedasd"="0"
"allocatefloppies"="0"
"cachedlogonscount"="10"
"forceunlocklogon"=dword:00000000
"passwordexpirywarning"=dword:0000000e
"scremoveoption"="0"
"AllowMultipleTSSessions"=dword:00000001
"UIHost"=hex(2):6c,00,6f,00,67,00,6f,00,6e,00,75,00,69,00,2e,00,65,00,78,00,65,\
  00,00,00
"LogonType"=dword:00000001
"Background"="0 0 0"
"DebugServerCommand"="no"
"SFCDisable"=dword:00000000
"WinStationsDisabled"="0"
"HibernationPreviouslyEnabled"=dword:00000001
"ShowLogonOptions"=dword:00000001
"AltDefaultDomainName"="LAMIELLE-E83988"
"DefaultUserName"="Administrateur"
"AltDefaultUserName"="Administrateur"
"ChangePasswordUseKerberos"=dword:00000001
"AutoAdminLogon"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}]
@="Quota du disque Microsoft"
"NoMachinePolicy"=dword:00000000
"NoUserPolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"RequiresSuccessfulRegistry"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000000
"DllName"=hex(2):64,00,73,00,6b,00,71,00,75,00,6f,00,74,00,61,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"ProcessGroupPolicy"="ProcessGroupPolicy"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}]
@="Internet Explorer Zonemapping"
"DllName"=hex(2):69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"ProcessGroupPolicy"="ProcessGroupPolicyForZoneMap"
"NoGPOListChanges"=dword:00000001
"RequiresSucessfulRegistry"=dword:00000001
"DisplayName"=hex(2):40,00,69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,\
  00,64,00,6c,00,6c,00,2c,00,2d,00,33,00,30,00,35,00,31,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessSecurityPolicyGPO"
"GenerateGroupPolicy"="SceGenerateGroupPolicy"
"ExtensionRsopPlanningDebugLevel"=dword:00000001
"ProcessGroupPolicyEx"="SceProcessSecurityPolicyGPOEx"
"ExtensionDebugLevel"=dword:00000001
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
  00,00
@="Security"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000001
"MaxNoGPOListChangesInterval"=dword:000003c0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}]
"ProcessGroupPolicyEx"="ProcessGroupPolicyEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"ProcessGroupPolicy"="ProcessGroupPolicy"
"DllName"="iedkcs32.dll"
@="Internet Explorer Branding"
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000001
"NoMachinePolicy"=dword:00000001
"DisplayName"=hex(2):40,00,69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,\
  00,64,00,6c,00,6c,00,2c,00,2d,00,33,00,30,00,31,00,34,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessEFSRecoveryGPO"
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
  00,00
@="EFS recovery"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B587E2B1-4D59-4e7e-AED9-22B9DF11D053}]
@="802.3 Group Policy"
"DisplayName"=hex(2):40,00,64,00,6f,00,74,00,33,00,67,00,70,00,63,00,6c,00,6e,\
  00,74,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,31,00,30,00,30,00,00,00
"ProcessGroupPolicyEx"="ProcessLANPolicyEx"
"GenerateGroupPolicy"="GenerateLANPolicy"
"DllName"=hex(2):64,00,6f,00,74,00,33,00,67,00,70,00,63,00,6c,00,6e,00,74,00,\
  2e,00,64,00,6c,00,6c,00,00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{C631DF4C-088F-4156-B058-4375F0853CD8}]
@="Microsoft Offline Files"
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,\
  00,73,00,63,00,75,00,69,00,2e,00,64,00,6c,00,6c,00,00,00
"EnableAsynchronousProcessing"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000000
"NoMachinePolicy"=dword:00000000
"NoSlowLink"=dword:00000000
"NoUserPolicy"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"ProcessGroupPolicy"="ProcessGroupPolicy"
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}]
@="Installation de logiciel"
"DllName"=hex(2):61,00,70,00,70,00,6d,00,67,00,6d,00,74,00,73,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"ProcessGroupPolicyEx"="ProcessGroupPolicyObjectsEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"NoBackgroundPolicy"=dword:00000000
"RequiresSucessfulRegistry"=dword:00000000
"NoSlowLink"=dword:00000001
"PerUserLocalSettings"=dword:00000001
"EventSources"=hex(7):28,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,\
  00,6f,00,6e,00,20,00,4d,00,61,00,6e,00,61,00,67,00,65,00,6d,00,65,00,6e,00,\
  74,00,2c,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,00,6f,00,6e,\
  00,29,00,00,00,28,00,4d,00,73,00,69,00,49,00,6e,00,73,00,74,00,61,00,6c,00,\
  6c,00,65,00,72,00,2c,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,\
  00,6f,00,6e,00,29,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
  6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
"Asynchronous"=dword:00000001
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,\
  00,69,00,6d,00,73,00,6e,00,74,00,66,00,79,00,2e,00,64,00,6c,00,6c,00,00,00
"Startup"="WlDimsStartup"
"Shutdown"="WlDimsShutdown"
"Logon"="WlDimsLogon"
"Logoff"="WlDimsLogoff"
"StartShell"="WlDimsStartShell"
"Lock"="WlDimsLock"
"Unlock"="WlDimsUnlock"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	ermsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"HelpAssistant"=dword:00000000
"TsInternetUser"=dword:00000000
"SQLAgentCmdExec"=dword:00000000
"NetShowServices"=dword:00000000
"IWAM_"=dword:00010000
"IUSR_"=dword:00010000
"VUSR_"=dword:00010000
"ASPNET"=dword:00000000

**********************************

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001
"DefaultDomainName"="LAMIELLE-E83988"
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="Explorer.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"SfcQuota"=dword:ffffffff
"allocatecdroms"="0"
"allocatedasd"="0"
"allocatefloppies"="0"
"cachedlogonscount"="10"
"forceunlocklogon"=dword:00000000
"passwordexpirywarning"=dword:0000000e
"scremoveoption"="0"
"AllowMultipleTSSessions"=dword:00000001
"UIHost"=hex(2):6c,00,6f,00,67,00,6f,00,6e,00,75,00,69,00,2e,00,65,00,78,00,65,\
  00,00,00
"LogonType"=dword:00000001
"Background"="0 0 0"
"DebugServerCommand"="no"
"SFCDisable"=dword:00000000
"WinStationsDisabled"="0"
"HibernationPreviouslyEnabled"=dword:00000001
"ShowLogonOptions"=dword:00000001
"AltDefaultDomainName"="LAMIELLE-E83988"
"DefaultUserName"="Administrateur"
"AltDefaultUserName"="Administrateur"
"ChangePasswordUseKerberos"=dword:00000001
"AutoAdminLogon"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}]
@="Quota du disque Microsoft"
"NoMachinePolicy"=dword:00000000
"NoUserPolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"RequiresSuccessfulRegistry"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000000
"DllName"=hex(2):64,00,73,00,6b,00,71,00,75,00,6f,00,74,00,61,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"ProcessGroupPolicy"="ProcessGroupPolicy"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}]
@="Internet Explorer Zonemapping"
"DllName"=hex(2):69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"ProcessGroupPolicy"="ProcessGroupPolicyForZoneMap"
"NoGPOListChanges"=dword:00000001
"RequiresSucessfulRegistry"=dword:00000001
"DisplayName"=hex(2):40,00,69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,\
  00,64,00,6c,00,6c,00,2c,00,2d,00,33,00,30,00,35,00,31,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessSecurityPolicyGPO"
"GenerateGroupPolicy"="SceGenerateGroupPolicy"
"ExtensionRsopPlanningDebugLevel"=dword:00000001
"ProcessGroupPolicyEx"="SceProcessSecurityPolicyGPOEx"
"ExtensionDebugLevel"=dword:00000001
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
  00,00
@="Security"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000001
"MaxNoGPOListChangesInterval"=dword:000003c0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}]
"ProcessGroupPolicyEx"="ProcessGroupPolicyEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"ProcessGroupPolicy"="ProcessGroupPolicy"
"DllName"="iedkcs32.dll"
@="Internet Explorer Branding"
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000001
"NoMachinePolicy"=dword:00000001
"DisplayName"=hex(2):40,00,69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,\
  00,64,00,6c,00,6c,00,2c,00,2d,00,33,00,30,00,31,00,34,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessEFSRecoveryGPO"
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
  00,00
@="EFS recovery"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B587E2B1-4D59-4e7e-AED9-22B9DF11D053}]
@="802.3 Group Policy"
"DisplayName"=hex(2):40,00,64,00,6f,00,74,00,33,00,67,00,70,00,63,00,6c,00,6e,\
  00,74,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,31,00,30,00,30,00,00,00
"ProcessGroupPolicyEx"="ProcessLANPolicyEx"
"GenerateGroupPolicy"="GenerateLANPolicy"
"DllName"=hex(2):64,00,6f,00,74,00,33,00,67,00,70,00,63,00,6c,00,6e,00,74,00,\
  2e,00,64,00,6c,00,6c,00,00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{C631DF4C-088F-4156-B058-4375F0853CD8}]
@="Microsoft Offline Files"
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,\
  00,73,00,63,00,75,00,69,00,2e,00,64,00,6c,00,6c,00,00,00
"EnableAsynchronousProcessing"=dword:00000000
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000000
"NoMachinePolicy"=dword:00000000
"NoSlowLink"=dword:00000000
"NoUserPolicy"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"ProcessGroupPolicy"="ProcessGroupPolicy"
"RequiresSuccessfulRegistry"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}]
@="Installation de logiciel"
"DllName"=hex(2):61,00,70,00,70,00,6d,00,67,00,6d,00,74,00,73,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"ProcessGroupPolicyEx"="ProcessGroupPolicyObjectsEx"
"GenerateGroupPolicy"="GenerateGroupPolicy"
"NoBackgroundPolicy"=dword:00000000
"RequiresSucessfulRegistry"=dword:00000000
"NoSlowLink"=dword:00000001
"PerUserLocalSettings"=dword:00000001
"EventSources"=hex(7):28,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,\
  00,6f,00,6e,00,20,00,4d,00,61,00,6e,00,61,00,67,00,65,00,6d,00,65,00,6e,00,\
  74,00,2c,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,00,6f,00,6e,\
  00,29,00,00,00,28,00,4d,00,73,00,69,00,49,00,6e,00,73,00,74,00,61,00,6c,00,\
  6c,00,65,00,72,00,2c,00,41,00,70,00,70,00,6c,00,69,00,63,00,61,00,74,00,69,\
  00,6f,00,6e,00,29,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
  6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
"Asynchronous"=dword:00000001
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,\
  00,69,00,6d,00,73,00,6e,00,74,00,66,00,79,00,2e,00,64,00,6c,00,6c,00,00,00
"Startup"="WlDimsStartup"
"Shutdown"="WlDimsShutdown"
"Logon"="WlDimsLogon"
"Logoff"="WlDimsLogoff"
"StartShell"="WlDimsStartShell"
"Lock"="WlDimsLock"
"Unlock"="WlDimsUnlock"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	ermsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"HelpAssistant"=dword:00000000
"TsInternetUser"=dword:00000000
"SQLAgentCmdExec"=dword:00000000
"NetShowServices"=dword:00000000
"IWAM_"=dword:00010000
"IUSR_"=dword:00010000
"VUSR_"=dword:00010000
"ASPNET"=dword:00000000

**********************


DirLook.exe v2.0 by jpshortstuff
Log created at 20:22 on 26/11/2008
==================================[b]
Contents of "c:\Documents and Settings"
/b
[b][color=blue]---FOLDERS---/b/color

[b]Administrateur/b (Created on 15/09/2008 at 15:44) d-----
[b]All Users/b (Created on 05/01/2002 at 14:52) d-----
[b]Default User/b (Created on 05/01/2002 at 14:52) d--h--
[b]LocalService/b (Created on 05/01/2002 at 14:09) d--hs-
[b]NetworkService/b (Created on 05/01/2002 at 14:06) d--hs-
[b]Utilisateur/b (Created on 05/01/2002 at 14:11) d-----

[b][color=blue]---FILES---/b/color

(none found)

==================================
[b][color=blue]=EOF=/b/color

Venisia54 · Answer

voilà j ai installer combofix et la console de recuperation. il me demande maintenant si je veux poursuivre la recherche de nuisibles

Venisia54 · Answer

C'est bien cela qu'il vous fallait ?:)

Venisia54 · Answer

snifff y'a plus personne ? :)

Lyonnais92 · Answer

re,

regarde ce tuto :

https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm

Redémarre l'ordi.

Tu vas avoir un nouveau choix. Choisis la console.

Tu vas avoir une invite de commande du type C: .

Tape 

expand D:\ic86/F:\USERINIT.EX_ C:\WINDOWS\system32\userinit.exe puis Entrée

Confirme  (il doit te demander une confirmation).

tape exit

Redémarre le système en mode sans échec avec prise en charge réseau.

Choisis la session "utilisateur" si tu as le choix.

Réexécute SmitfraudFix choix 1 et poste le rapport.

Venisia54 · Answer

re,
Ca me dit Syntaxe du nom de fichier, de voulume ou de répertoire incorrecte quand je tape 
expand D:\ic86/F:\USERINIT.EX_ C:\WINDOWS\system32\userinit.exe

Lyonnais92 · Answer

Re,

avec 

expand D:\i386/F:\USERINIT.EX_ C:\WINDOWS\system32\userinit.exe

ça ira peut être mieux (désolé)

Venisia54 · Answer

Pas de problème c'est moi qui suis désolé de t'embeter autant :)

Venisia54 · Answer

Ca marche toujours pas, ca me dit comme tout à l heure ( Syntaxe du nom de fichier, de voulume ou de répertoire incorrecte )

Lyonnais92 · Answer

Re,

expand D:\i386/F:USERINIT.EX_ C:\WINDOWS\system32\userinit.exe

Venisia54 · Answer

Maintenant,
ca me dit le chemin d'accés ou le fichier n'est pas valide :(
(je sais pas si cela à son importance mais on a débranchés le disque dur externe )

Lyonnais92 · Answer

Re,

Ouvre le Bloc Notes.
Copie le texte en bleu ci-dessous   (copie/colle) :
 
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"setcommand"=dword:1
 
Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

 ==========

tu redémarres avec la Console.

Tu tapes d'abord 

SET AllowAllPaths = TRUE  et tu tapes sur entrée;

puis tu tapes  

expand D:\i386/F:USERINIT.EX_  C:\WINDOWS\system32\userinit.exe et tu tapes sur entrée

Venisia54 · Answer

Pour la première manip ça a été trés trés vite  et ca n'a  pas mis que ca avait fusionner mais enregistré sur le registre.
ca me dit le systeme n'a pas pu trouver le fichier ou le répertoire spécifié :(

Lyonnais92 · Answer

Re,

1) vérifie que D:\i386\userinit.ex_   existe (par l'explorateur Windows)

2) si oui, redémarre la console

la suite des commandes (après chacune, taper sur entrée)

SET AllowAllPaths = TRUE
Attrib -R C:\WINDOWS\system32\userinit.exe
expand D:\i386/F:USERINIT.EX_  C:\WINDOWS\system32\userinit.exe

Venisia54 · Answer

Re
J'ai vérifiée et le fichier existe bien.
J'ai fais ta manip et cela me dit le systeme n'a pas pu trouver le fichier ou le répertoire spécifié :(

Lyonnais92 · Answer

Re,

essaye 

SET AllowAllPaths = TRUE
Attrib -R C:\WINDOWS\system32\userinit.exe
copy D:\i386\USERINIT.EX_  C:\WINDOWS\system32\userinit2.exe

Venisia54 · Answer

Re :)
Ca me dit 1 fichier copié

Lyonnais92 · Answer

Re,

ouvre l'explorateur windows;

est ce que les 2 fichiers ont la même taille ?

donne moi la taille de chacun.

Venisia54 · Answer

re,
Alors je sais pas si c'est comme cela qu'il fallait faire donc j'ai recherché avec l'explorateur windows
D:\i386\USERINIT.EX_ 11Ko
et
C:\WINDOWS\system32\userinit2.exe 25Ko

Lyonnais92 · Answer

Re,

c'est ce que je voulais.

Fais avec ceci à la console :

SET AllowAllPaths = TRUE
md c:\expand
del  C:\WINDOWS\system32\userinit2.exe
Attrib -R C:\WINDOWS\system32\userinit.exe
copy D:\i386\USERINIT.EX_  C:\expand\userinit.ex_
expand c:\expand\userinit.ex_   C:\WINDOWS\system32\userinit2.exe

===================

La suite au jour.

Venisia54 · Answer

Oki merci beaucoup pour ton aide :)
Bonne nuit alors et à tout à l'heure :)

pour celui là copy D:\i386\USERINIT.EX_  C:\expand\userinit.ex_
Ca me dit 1 fichier copié
Et pour celui là expand c:\expand\userinit.ex_   C:\WINDOWS\system32\userinit2.exe
ca me dit ce fichier n'a pas pu être décompressé

Lyonnais92 · Answer

Bonjour,

essaye comme ça :

SET AllowAllPaths = TRUE

del  C:\WINDOWS\system32\userinit2.exe

copy D:\i386\USERINIT.EX_  C:\expand\userinit.ex_

expand c:\expand\userinit.ex_   C:\expand\userinit.exe

si il te dit que C:\WINDOWS\system32\userinit2.exe n'existe pas, pas de problème

si il te dit que C:\expand\userinit.ex_ existe déjà et si tu veux le remplacer, tu réponds oui.

Venisia54 · Answer

Bonjour, ok merci :) Je vais faire cela.

Venisia54 · Answer

Alors,
SET AllowAllPaths = TRUE

del  C:\WINDOWS\system32\userinit2.exe la il me dit aucun fichier correspondant n'a été trouvé

copy D:\i386\USERINIT.EX_  C:\expand\userinit.ex_ la il me dit  remplacer userinit.ex_ j'ai mis oui comme tu me l'a dis et ca me dit un fichier copié

expand c:\expand\userinit.ex_   C:\expand\userinit.exe la il me dit ce fichier n'a pas pu etre décompressé.

Lyonnais92 · Answer

Bonjour,

comme ça alors :


SET AllowAllPaths = TRUE



expand c:\expand/F:userinit.ex_   C:\expand\userinit.exe

Venisia54 · Answer

Re, 
Il me dit que le système n'a pas pu trouver le fichier ou le répertoire spécifié :(

Lyonnais92 · Answer

Re,

comme ça ?



SET AllowAllPaths = TRUE

expand c:\expand\userinit.ex_   C:\expand

Venisia54 · Answer

Ce fichier n'a pu être décompressé :(

Lyonnais92 · Answer

RE,

tu as le CD de Windows ?

Si oui, démarre en mode sans échec, insère le CD, cherche userinit.ex_ et copie le dans C:\expand sous le nom userinit.ex_ (écrase l'actuel).


Et reessaye en mode console avec :

 
ET AllowAllPaths = TRUE

attrib -R c:\expand

expand c:\expand\userinit.ex_   C:\expand

Venisia54 · Answer

Oui j'ai le CD
C'est bien ET AllowAllPaths = TRUE  ou SET AllowAllPaths = TRUE  ?

Venisia54 · Answer

ça ecrit 1 fichier décompressé

Je dois m' absenter une bonne heure. Merci encore pour ton aide, je me dépeche.

Lyonnais92 · Answer

Re,

pas de problème pour le timing. moi non plus je ne suis pas toujours disponible.

Normalement on a fait un grand pas.

Vérifie quand même que le fichier c:\expand\userinit.exe existe bien et fait environ 25 Ko.

Si oui, redémarrage à la console.

SET AllowAllPaths = TRUE

attrib -R-A-H c:\windows\system32\userinit.exe

rename c:\windows\system32\userinit.exe c:\windows\system32\userinit.exe.old

copy c:\expand\userinit.exe c:\windows\system32

attrib +R+A+H c:\windows\system32\userinit.exe


Redémarre, si possible en mode normal, si possible sur ta session.

Reexécutes SmitfraudFix choix 1 et poste le rapport.

Dis moi ce qui se passe.

Venisia54 · Answer

re,
dsl pour le temps de réponse un imprévu :(
Pour rename c:\windows\system32\userinit.exe c:\windows\system32\userinit.exe.old ca me dit que le parametre n'est pas valide

Lyonnais92 · Answer

Re,

SET AllowAllPaths = TRUE 

attrib -R-S-H c:\windows\system32\userinit.exe 

rename c:\windows\system32\userinit.exe c:\windows\system32\userinit.exe.old 

copy c:\expand\userinit.exe c:\windows\system32 

attrib +R+S+H c:\windows\system32\userinit.exe 


Sinon, tu sautes l'étape de rename et tu continues par copy et l'a commande attrib finale.

Redémarre, si possible en mode normal, si possible sur ta session. 

Reexécutes SmitfraudFix choix 1 et poste le rapport. 

Dis moi ce qui se passe.

Venisia54 · Answer

copy c:\expand\userinit.exe c:\windows\system32 
Il demande si je veux remplacer userinit.exe ( oui, non ou tous )
Je met oui ? :)

Lyonnais92 · Answer

Re,

tu mets oui.

C'est ce que l'on cherche à faire depuis hier soir, remplacer le userinit.exe infecté par un sain.

Venisia54 · Answer

désolé je perd la boule avec toutes ces manip lol :(

Venisia54 · Answer

super..ça fait du bien de revoir les icones de son bureau:)  par contre au debut de la cession il marque limitation de compte et je dois encore choisir utilisateur.

voici le rapport

SmitFraudFix v2.378

Rapport fait à 17:28:49,60, 27/11/2008
Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Ethernet à base ADMtek AN983 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E4928CA9-9B58-463F-930B-EFE44429F896}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E4928CA9-9B58-463F-930B-EFE44429F896}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E4928CA9-9B58-463F-930B-EFE44429F896}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E4928CA9-9B58-463F-930B-EFE44429F896}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Lyonnais92 · Answer

Re,

hip hip hip hourra

enfin, peut être pas trop vite mais :

- l'ordi a redémarré en mode normal, sur ta session.

- le fichier infecté a été remplacé par un fichier sain.

- on sait démarrer sur la console de récupération et on a le CD de Windows.

Plus grand chose qui nous empêche de nous en sortir désormais.


Il faut que je retrouve le fil de la désinfection, de ce qui reste, des outils que tu as, ...

De ton côté, tu as commencé, mais si tu pouvais faire la liste de tout ce qui ne fonctionne pas parfaitement, ça m'aiderait.

Ne t'étonne  pas trop si je poste des choses incompréhensibles et où je ne te demande rien. C'est juste pour consigner mes réflexions.

Venisia54 · Answer

Oui ne nous emflammons pas trop( même si je suis super contente que ca refonctionne lol )
J'ai repérée deux petits problèmes
1. Au lancement de la session il marque impossible d'ouvrir une session car il y'a une limitation de comptes.
et quand j'appuie sur OK ca passe mais je dois encore cliquer sur l'icone utilisateur pour arriver enfin à mon bureau avec ses jolies icones :p
2. Quand j'arrive sur le bureau j'ai SDfix qui se met en route automatiquement avec avec un cadre bleu écrit à l'intérieur:
Finishing Malware Check
Please Be Patient As This part May take Several Minutes

Lyonnais92 · Answer

Re,

ouvre le Gestionnaire des tâches (Ctrl + Alt + Suppr).

SDFix tourne ?

Si non, tu vas dans l'onglet Applications, tu fais un clic droit et Arrêter (ou supprimer);

==============

Tu fais Démarrer, Panneau de configuration, Comptes d'utilisateur.

Ton compte est un compte Administrateur ou un compte limité ?

Venisia54 · Answer

sdfix n apparait pas dans l onglet application.

pour le compte c marque Utilisateur et en dessous administrateur de l ordinateur le tout pour la meme icone.

Lyonnais92 · Answer

Re,

et tu ne vois pas non plus runthis ou runthis.bat ?

Venisia54 · Answer

non plus, en fait j ai ferme sdfix quant il s est lancé sur le bureau je ne sais pas si ça a un rapport:)

Lyonnais92 · Answer

Re,

si tu le trouves, je voudrais que tu fasses ceci :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier    C:\windows\System32\drivers\8d8b8bcd.sys

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Venisia54 · Answer

voici le rapport

0 bytes size received / Se ha recibido un archivo vacio

j ai arrete sdfix dans la partie application de ctrl alt suppr

Lyonnais92 · Answer

Re,

supprime (si il existe Combofix.exe sur ton Bureau ainsi que le répertoire Qoobox à la racine du disque, en général C:\Qoobox).

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

en particulier installe la Console de récupération.

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Venisia54 · Answer

re 
je ne sais pas ou est mon antispywaer:( ni comment le desactiver:(

Lyonnais92 · Answer

Ren

désactive avast, je crois que ça va suffire.

Venisia54 · Answer

re voici le rapport: ComboFix 08-11-27.03 - Utilisateur 2008-11-27 22:53:14.4 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1630 [GMT 1:00] Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe * Un nouveau point de restauration a été créé . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-27 au 2008-11-27 )))))))))))))))))))))))))))))))))))) . 2008-11-27 14:23 . 2004-08-04 01:55 25,088 -rahs---- c:\windows\system32\userinit.exe 2008-11-27 02:29 . 2008-11-27 12:35 d-------- C:\expand 2008-11-26 15:02 . 2008-11-26 15:01 21,102,157 --a------ c:\windows\LPT$VPN.677 2008-11-26 15:02 . 2008-11-26 15:30 517 --a------ c:\windows\TSC.INI 2008-11-26 15:01 . 2008-11-26 15:01 d-------- c:\windows\AU_Backup 2008-11-26 15:01 . 2008-11-26 15:01 21,102,157 --a------ c:\windows\VPTNFILE.677 2008-11-26 15:01 . 2008-11-26 15:01 1,213,784 --a------ c:\windows\vsapi32.dll 2008-11-26 15:01 . 2008-11-26 15:01 91,744 --a------ c:\windows\BPMNT.dll 2008-11-26 14:59 . 2008-11-26 15:01 d-------- c:\windows\AU_Temp 2008-11-26 14:56 . 2008-11-26 14:56 d-------- c:\windows\AU_Log 2008-11-26 14:56 . 2008-11-26 14:56 507,904 --a------ c:\windows\TMUPDATE.DLL 2008-11-26 14:56 . 2008-11-26 14:56 286,720 --a------ c:\windows\PATCH.EXE 2008-11-26 14:56 . 2008-11-26 14:56 69,689 --a------ c:\windows\UNZIP.DLL 2008-11-26 14:56 . 2008-11-26 15:00 170 --a------ c:\windows\GetServer.ini 2008-11-26 13:11 . 2008-11-27 17:28 1,534 --a------ c:\windows\system32 mp.reg 2008-11-26 13:10 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe 2008-11-26 13:10 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe 2008-11-26 13:10 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe 2008-11-26 13:10 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\o4Patch.exe 2008-11-26 13:10 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe 2008-11-26 13:10 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe 2008-11-26 13:10 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe 2008-11-26 13:10 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe 2008-11-26 13:10 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe 2008-11-26 13:10 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe 2008-11-26 00:26 . 2008-11-26 00:26 d-------- C:\VundoFix Backups 2008-11-26 00:09 . 2008-11-26 00:09 d-------- c:\documents and settings\Utilisateur\Application Data\InstallShield 2008-11-25 22:55 . 2008-11-25 22:55 d-------- C:\_OTMoveIt 2008-11-25 20:38 . 2008-11-25 20:38 d-------- c:\windows\ERUNT 2008-11-25 20:35 . 2008-11-26 16:42 d-------- C:\SDFix 2008-11-25 18:20 . 2008-11-26 23:51 463 --a------ c:\windows\system32\win32hlp.cnf 2008-11-25 13:14 . 2008-11-25 13:14 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll 2008-11-25 07:46 . 2008-11-25 20:02 d-------- C:\TEMP 2008-11-24 23:56 . 2008-11-24 23:56 d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\Utilisateur\Application Data\Babylon 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\All Users\Application Data\Babylon 2008-11-24 21:50 . 2008-11-25 22:17 0 --a------ c:\windows\system32\drivers\8d8b8bcd.sys 2008-11-23 15:00 . 2008-11-23 15:00 d--hs---- c:\windows\ftpcache 2008-11-15 15:26 . 2008-11-15 22:19 d-------- c:\documents and settings\Utilisateur\Application Data\Mumble 2008-11-14 23:24 . 2008-11-15 15:26 d-------- c:\program files\Mumble 2008-11-13 07:46 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2008-11-13 07:46 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-09 20:43 . 2008-05-30 14:19 507,400 --a------ c:\windows\system32\XAudio2_1.dll 2008-11-09 20:43 . 2008-05-30 14:17 65,032 --a------ c:\windows\system32\XAPOFX1_0.dll 2008-11-09 20:42 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll 2008-11-09 20:42 . 2008-05-30 14:18 238,088 --a------ c:\windows\system32\xactengine3_1.dll 2008-11-09 20:42 . 2008-05-30 14:17 25,608 --a------ c:\windows\system32\X3DAudio1_4.dll 2008-11-09 20:41 . 2008-11-09 20:41 d-------- c:\program files\MSBuild 2008-11-09 20:39 . 2008-11-10 17:15 d-------- c:\windows\system32\XPSViewer 2008-11-09 20:38 . 2008-11-09 20:38 d-------- c:\program files\Reference Assemblies 2008-11-09 20:38 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-25 23:04 --------- d-----w c:\program files\Trend Micro 2008-11-25 22:53 --------- d-----w c:\program files\Malwarebytes' Anti-Malware 2008-11-23 16:31 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-22 17:03 --------- d-----w c:\program files\Codemasters 2008-11-11 11:09 --------- d-----w c:\program files\Electronic Arts 2008-11-09 19:55 107,888 ----a-w c:\windows\system32\CmdLineExt.dll 2008-11-07 18:12 --------- d-----w c:\program files\Wanadoo 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2008-09-28 10:55 --------- d-----w c:\program files\Mount&Blade 2008-09-27 10:26 --------- d-----w c:\program files\Curse 2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll 2008-09-06 18:32 304,528 ----a-w c:\windows\system32\appdrvrem01.exe 2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-01-19 10:58 22,328 ----a-w c:\documents and settings\Utilisateur\Application Data\PnkBstrK.sys 2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe 2004-08-04 00:55 25,088 --sha-r c:\windows\system32\userinit.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2007-12-15 482760] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928] "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832] "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-18 81000] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-01-16 185896] "SDFix"="c:\sdfix\RunThis.bat" [2008-11-06 964661] "nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32 wiz.exe] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Valve\Steam\SteamApps\raknar\counter-strike source\hl2.exe"= "c:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"= "c:\WINDOWS\system32\PnkBstrA.exe"= "c:\WINDOWS\system32\PnkBstrB.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\BitTorrent\bittorrent.exe"= "c:\Program Files\CRS\Battleground Europe\WW2_sse2.exe"= "c:\Program Files\Codemasters\GRID\GRID.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\xrEngine.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\dedicated\xrEngine.exe"= "c:\Program Files\Curse\CurseClient.exe"= R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-09-06 2915944] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 110160] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-05 20560] R3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;c:\windows\system32\DRIVERS\AN983.sys [2002-01-05 36224] S1 8d8b8bcd;8d8b8bcd;c:\windows\system32\drivers\8d8b8bcd.sys [2008-11-24 0] S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\setup.exe . Contenu du dossier 'Tâches planifiées' 2008-11-27 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-27 22:55:42 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... c:\documents and settings\Utilisateur\Local Settings\Temp\catchme.dll 53248 bytes executable Scan terminé avec succès Fichiers cachés: 1 ************************************************************************** . Heure de fin: 2008-11-27 22:56:35 ComboFix-quarantined-files.txt 2008-11-27 21:56:27 Avant-CF: 33 976 139 776 octets libres Après-CF: 37,558,181,888 octets libres 151 --- E O F --- 2008-11-25 21:59:10

Venisia54 · Answer

je te souhaite une bonne nuit et encore merci .

Lyonnais92 · Answer

Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
8d8b8bcd

File::
c:\windows\system32\drivers\8d8b8bcd.sys

Folder::
c:\sdfix
 
Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\8d8b8bcd]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDFix"=-

Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Venisia54 · Answer

Bonjour, Ok je vais faire cela de suite. Voici le premier rapport: ComboFix 08-11-27.03 - Utilisateur 2008-11-28 11:58:08.5 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1634 [GMT 1:00] Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Utilisateur\Bureau\CFscript * Un nouveau point de restauration a été créé . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-28 au 2008-11-28 )))))))))))))))))))))))))))))))))))) . 2008-11-27 14:23 . 2004-08-04 01:55 25,088 -rahs---- c:\windows\system32\userinit.exe 2008-11-27 02:29 . 2008-11-27 12:35 d-------- C:\expand 2008-11-26 15:02 . 2008-11-26 15:01 21,102,157 --a------ c:\windows\LPT$VPN.677 2008-11-26 15:02 . 2008-11-26 15:30 517 --a------ c:\windows\TSC.INI 2008-11-26 15:01 . 2008-11-26 15:01 d-------- c:\windows\AU_Backup 2008-11-26 15:01 . 2008-11-26 15:01 21,102,157 --a------ c:\windows\VPTNFILE.677 2008-11-26 15:01 . 2008-11-26 15:01 1,213,784 --a------ c:\windows\vsapi32.dll 2008-11-26 15:01 . 2008-11-26 15:01 91,744 --a------ c:\windows\BPMNT.dll 2008-11-26 14:59 . 2008-11-26 15:01 d-------- c:\windows\AU_Temp 2008-11-26 14:56 . 2008-11-26 14:56 d-------- c:\windows\AU_Log 2008-11-26 14:56 . 2008-11-26 14:56 507,904 --a------ c:\windows\TMUPDATE.DLL 2008-11-26 14:56 . 2008-11-26 14:56 286,720 --a------ c:\windows\PATCH.EXE 2008-11-26 14:56 . 2008-11-26 14:56 69,689 --a------ c:\windows\UNZIP.DLL 2008-11-26 14:56 . 2008-11-26 15:00 170 --a------ c:\windows\GetServer.ini 2008-11-26 13:11 . 2008-11-27 17:28 1,534 --a------ c:\windows\system32 mp.reg 2008-11-26 13:10 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe 2008-11-26 13:10 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe 2008-11-26 13:10 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe 2008-11-26 13:10 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\o4Patch.exe 2008-11-26 13:10 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe 2008-11-26 13:10 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe 2008-11-26 13:10 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe 2008-11-26 13:10 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe 2008-11-26 13:10 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe 2008-11-26 13:10 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe 2008-11-26 00:26 . 2008-11-26 00:26 d-------- C:\VundoFix Backups 2008-11-26 00:09 . 2008-11-26 00:09 d-------- c:\documents and settings\Utilisateur\Application Data\InstallShield 2008-11-25 22:55 . 2008-11-25 22:55 d-------- C:\_OTMoveIt 2008-11-25 20:38 . 2008-11-25 20:38 d-------- c:\windows\ERUNT 2008-11-25 20:35 . 2008-11-26 16:42 d-------- C:\SDFix 2008-11-25 18:20 . 2008-11-26 23:51 463 --a------ c:\windows\system32\win32hlp.cnf 2008-11-25 13:14 . 2008-11-25 13:14 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll 2008-11-25 07:46 . 2008-11-25 20:02 d-------- C:\TEMP 2008-11-24 23:56 . 2008-11-24 23:56 d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\Utilisateur\Application Data\Babylon 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\All Users\Application Data\Babylon 2008-11-24 21:50 . 2008-11-25 22:17 0 --a------ c:\windows\system32\drivers\8d8b8bcd.sys 2008-11-23 15:00 . 2008-11-23 15:00 d--hs---- c:\windows\ftpcache 2008-11-15 15:26 . 2008-11-15 22:19 d-------- c:\documents and settings\Utilisateur\Application Data\Mumble 2008-11-14 23:24 . 2008-11-15 15:26 d-------- c:\program files\Mumble 2008-11-13 07:46 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2008-11-13 07:46 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-09 20:43 . 2008-05-30 14:19 507,400 --a------ c:\windows\system32\XAudio2_1.dll 2008-11-09 20:43 . 2008-05-30 14:17 65,032 --a------ c:\windows\system32\XAPOFX1_0.dll 2008-11-09 20:42 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll 2008-11-09 20:42 . 2008-05-30 14:18 238,088 --a------ c:\windows\system32\xactengine3_1.dll 2008-11-09 20:42 . 2008-05-30 14:17 25,608 --a------ c:\windows\system32\X3DAudio1_4.dll 2008-11-09 20:41 . 2008-11-09 20:41 d-------- c:\program files\MSBuild 2008-11-09 20:39 . 2008-11-10 17:15 d-------- c:\windows\system32\XPSViewer 2008-11-09 20:38 . 2008-11-09 20:38 d-------- c:\program files\Reference Assemblies 2008-11-09 20:38 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-25 23:04 --------- d-----w c:\program files\Trend Micro 2008-11-25 22:53 --------- d-----w c:\program files\Malwarebytes' Anti-Malware 2008-11-23 16:31 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-22 17:03 --------- d-----w c:\program files\Codemasters 2008-11-11 11:09 --------- d-----w c:\program files\Electronic Arts 2008-11-09 19:55 107,888 ----a-w c:\windows\system32\CmdLineExt.dll 2008-11-07 18:12 --------- d-----w c:\program files\Wanadoo 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2008-09-28 10:55 --------- d-----w c:\program files\Mount&Blade 2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll 2008-09-06 18:32 304,528 ----a-w c:\windows\system32\appdrvrem01.exe 2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-01-19 10:58 22,328 ----a-w c:\documents and settings\Utilisateur\Application Data\PnkBstrK.sys 2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe 2004-08-04 00:55 25,088 --sha-r c:\windows\system32\userinit.exe . ((((((((((((((((((((((((((((( snapshot@2008-11-27_22.56.14,23 ))))))))))))))))))))))))))))))))))))))))) . + 2008-11-28 10:50:50 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings emp\Perflib_Perfdata_4dc.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2007-12-15 482760] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928] "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832] "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-18 81000] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-01-16 185896] "SDFix"="c:\sdfix\RunThis.bat" [2008-11-06 964661] "nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32 wiz.exe] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Valve\Steam\SteamApps\raknar\counter-strike source\hl2.exe"= "c:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"= "c:\WINDOWS\system32\PnkBstrA.exe"= "c:\WINDOWS\system32\PnkBstrB.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\BitTorrent\bittorrent.exe"= "c:\Program Files\CRS\Battleground Europe\WW2_sse2.exe"= "c:\Program Files\Codemasters\GRID\GRID.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\xrEngine.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\dedicated\xrEngine.exe"= "c:\Program Files\Curse\CurseClient.exe"= R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-09-06 2915944] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 110160] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-05 20560] R3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;c:\windows\system32\DRIVERS\AN983.sys [2002-01-05 36224] S1 8d8b8bcd;8d8b8bcd;c:\windows\system32\drivers\8d8b8bcd.sys [2008-11-24 0] S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\setup.exe . Contenu du dossier 'Tâches planifiées' 2008-11-28 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-28 12:00:15 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2008-11-28 12:01:08 ComboFix-quarantined-files.txt 2008-11-28 11:00:52 ComboFix2.txt 2008-11-27 21:56:36 Avant-CF: 37 481 553 920 octets libres Après-CF: 37,511,245,824 octets libres 155 --- E O F --- 2008-11-25 21:59:10 Voici le deuxième : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:06:10, on 28/11/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\WINDOWS\system32 vsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\internet explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer pbrowserrecordplugin.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Venisia54 · Answer

re

tu penses que je peux déja utiliser le pc normalement : aller sur internet, msn etc.. ou il y a encore des risques d infection?

Lyonnais92 · Answer

Bonjour,

je crois que tu peux te servir du PC.

Mais la manip du post 144 semble ne pas avoir fonctionné.

Tu peux recommencer. Merci.

Venisia54 · Answer

re en en déposant le fichier sur compofix , une fenetre est apparue me demandant si je voulais l executer. j ai taper oui , voici le rapport:! ComboFix 08-11-27.03 - Utilisateur 2008-11-28 20:36:51.6 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1623 [GMT 1:00] Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Utilisateur\Bureau\CFscript * Un nouveau point de restauration a été créé FILE :: c:\windows\system32\drivers\8d8b8bcd.sys . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\sdfix c:\sdfix\Add_DBFix_RunOnce_key.inf c:\sdfix\AdminCheck2.txt c:\sdfix\apps\assosfix.reg c:\sdfix\apps\Cghtme.exe c:\sdfix\apps\cliptext.exe c:\sdfix\apps\CSweg.exe c:\sdfix\apps\DBFix.inf c:\sdfix\apps\download.exe c:\sdfix\apps\dummy.sys c:\sdfix\apps\Enable_Command_Prompt.inf c:\sdfix\apps\Enable_Command_Prompt.reg c:\sdfix\apps\ERDNT.E_E c:\sdfix\apps\ERDNTDOS.LOC c:\sdfix\apps\ERDNTWIN.LOC c:\sdfix\apps\ERUNT.EXE c:\sdfix\apps\ERUNT.LOC c:\sdfix\apps\fix.reg c:\sdfix\apps\FixBeep.reg c:\sdfix\apps\FixBH.reg c:\sdfix\apps\FixComponents.reg c:\sdfix\apps\FIXCU.reg c:\sdfix\apps\FIXLM.reg c:\sdfix\apps\FixPath.exe c:\sdfix\apps\FixRedir.reg c:\sdfix\apps\FixSchedule.reg c:\sdfix\apps\FixWebCheck.reg c:\sdfix\apps\fixXP.reg c:\sdfix\apps\FixXPsp2.reg c:\sdfix\apps\grep.exe c:\sdfix\apps\HaxdFix.reg c:\sdfix\apps\HPFix.reg c:\sdfix\apps\HPFix2.reg c:\sdfix\apps\HPFix3.reg c:\sdfix\apps\HPFix4.reg c:\sdfix\apps\HPFix5.reg c:\sdfix\apps\HPFix6.reg c:\sdfix\apps\HPFix7.reg c:\sdfix\apps\HPFix8.reg c:\sdfix\apps\HPFix9.reg c:\sdfix\apps\Installed.txt c:\sdfix\apps\isadmin.exe c:\sdfix\apps\leg2.txt c:\sdfix\apps\legacy.txt c:\sdfix\apps\legacybk.txt c:\sdfix\apps\locate.com c:\sdfix\apps\LS.exe c:\sdfix\apps\MD5File.exe c:\sdfix\apps\moveex.exe c:\sdfix\apps\MyGcpvFix.reg c:\sdfix\apps\MyGkFix2.reg c:\sdfix\apps\Process.exe c:\sdfix\apps\procs.exe c:\sdfix\apps\psservice.exe c:\sdfix\apps\Rem.txt c:\sdfix\apps\Rem2.txt c:\sdfix\apps\Replace\regedit.exe c:\sdfix\apps\Replace\w2k\AUTOEXEC.NT c:\sdfix\apps\Replace\w2k\beep.sys c:\sdfix\apps\Replace\w2k\command.com c:\sdfix\apps\Replace\w2k\command.PIF c:\sdfix\apps\Replace\w2k\CONFIG.NT c:\sdfix\apps\Replace\w2k\null.sys c:\sdfix\apps\Replace\xp\AUTOEXEC.NT c:\sdfix\apps\Replace\xp\beep.sys c:\sdfix\apps\Replace\xp\command.com c:\sdfix\apps\Replace\xp\command.PIF c:\sdfix\apps\Replace\xp\CONFIG.NT c:\sdfix\apps\Replace\xp\null.sys c:\sdfix\apps\Reset_AppInit_DLLs.reg c:\sdfix\apps\RestartIt!.exe c:\sdfix\apps\Restore_SafeBoot_Windows2000.reg c:\sdfix\apps\Restore_SafeBoot_WindowsXP.reg c:\sdfix\apps\Restore_SafeBoot_WindowsXP_SP2.reg c:\sdfix\apps\Restore_SafeBoot_WindowsXP_SP3.reg c:\sdfix\apps\Restore_SecurityCenter.reg c:\sdfix\apps\Restore_SharedAccess.reg c:\sdfix\apps\sc.exe c:\sdfix\apps\sed.exe c:\sdfix\apps\SF.exe c:\sdfix\apps\shutdown.exe c:\sdfix\apps\srv2.txt c:\sdfix\apps\srv2bk.txt c:\sdfix\apps\svc.txt c:\sdfix\apps\svcbk.txt c:\sdfix\apps\Swreg.exe c:\sdfix\apps\swsc.exe c:\sdfix\apps\UnRAR.exe c:\sdfix\apps\unzip.exe c:\sdfix\apps\vfind.exe c:\sdfix\apps\WINMSG.EXE c:\sdfix\apps\winsec.reg c:\sdfix\apps\zip.exe c:\sdfix\attrib.exe c:\sdfix\backupreg\AppInit_DLLs.reg c:\sdfix\backupreg\bat_shell_open.reg c:\sdfix\backupreg\BHO.reg c:\sdfix\backupreg\com_shell_open.reg c:\sdfix\backupreg\ControlPanel_Load.reg c:\sdfix\backupreg\Drivers32.reg c:\sdfix\backupreg\exe_shell_open.reg c:\sdfix\backupreg\HKCU_SOFTWARE_Policy.reg c:\sdfix\backupreg\HKCU_WINDOWS_Policy.reg c:\sdfix\backupreg\HKCURun.reg c:\sdfix\backupreg\HKCURunServices.reg c:\sdfix\backupreg\HKLM_SOFTWARE_Policy.reg c:\sdfix\backupreg\HKLM_WINDOWS_Policy.reg c:\sdfix\backupreg\HKLMRun.reg c:\sdfix\backupreg\HKLMRunServices.reg c:\sdfix\backupreg\IEDesktop.reg c:\sdfix\backupreg\IEMain.reg c:\sdfix\backupreg\Installed_Components.reg c:\sdfix\backupreg\pif_shell_open.reg c:\sdfix\backupreg\reg_shell_open.reg c:\sdfix\backupreg\SecurityProviders.reg c:\sdfix\backupreg\SharedTaskScheduler.reg c:\sdfix\backupreg\ShellServiceObjectDelayLoad.reg c:\sdfix\backupreg\SubSystems.reg c:\sdfix\backupreg\txt_shell_open.reg c:\sdfix\backupreg\Winlogon.reg c:\sdfix\backupreg\WinlogonNotify.reg c:\sdfix\beepFA0.TXT c:\sdfix\beepFA1.TXT c:\sdfix\beepFA2.TXT c:\sdfix\beepFA3.TXT c:\sdfix\beepFA4.TXT c:\sdfix\beepxcodec0.TXT c:\sdfix\beepxcodec1.TXT c:\sdfix\beepxcodec2.TXT c:\sdfix\beepxcodec3.TXT c:\sdfix\beepxcodec4.TXT c:\sdfix\bpTEST1.TXT c:\sdfix\bpTEST3.TXT c:\sdfix\catchme.exe c:\sdfix\DBFix.bat c:\sdfix\delavi0.txt c:\sdfix\delzip0.txt c:\sdfix\dest.txt c:\sdfix\dnif.exe c:\sdfix\dummy.exe c:\sdfix\dummy.sys c:\sdfix\editreg.exe c:\sdfix\FilekillList1.txt c:\sdfix\FileList1.txt c:\sdfix\Find.txt c:\sdfix\Findav2009.txt c:\sdfix\Findav2009a.txt c:\sdfix\Findbhos1.txt c:\sdfix\FindIRCBrute.txt c:\sdfix\Findroguerun1.txt c:\sdfix\Findrun002.txt c:\sdfix\Findrun002a.txt c:\sdfix\Findrun30.txt c:\sdfix\Findrun31.txt c:\sdfix\Findrun31a.txt c:\sdfix\Findrun31b.txt c:\sdfix\Findrun32.txt c:\sdfix\Findrunbifrose1.txt c:\sdfix\Findrunbot1.txt c:\sdfix\FindrunDW_Start.txt c:\sdfix\Findzip.txt c:\sdfix\HOSTS c:\sdfix\Patched2a.txt c:\sdfix\Patched2b.txt c:\sdfix\Patched2c.txt c:\sdfix\RemLat.txt c:\sdfix\Remlat1.txt c:\sdfix\Remlat2.txt c:\sdfix\Remlat3.txt c:\sdfix\Remlat4.txt c:\sdfix\Report.txt c:\sdfix\Report_old_1.txt c:\sdfix\Report_old_2.txt c:\sdfix\rtsdnif.exe c:\sdfix\RunThis.bat c:\sdfix\SDFIX_ReadMe_Online.url c:\sdfix\TESTspreadbot1.TXT c:\sdfix\userinfix.reg c:\sdfix\W2K_VirusAlert_Repair.inf c:\sdfix\XP_VirusAlert_Repair.inf c:\windows\system32\drivers\8d8b8bcd.sys . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-28 au 2008-11-28 )))))))))))))))))))))))))))))))))))) . 2008-11-28 19:16 . 2008-11-28 19:16 d-------- C:\[First select your RTW where EB1.1 is, then remove this] 2008-11-27 14:23 . 2004-08-04 01:55 25,088 -rahs---- c:\windows\system32\userinit.exe 2008-11-27 02:29 . 2008-11-27 12:35 d-------- C:\expand 2008-11-26 15:02 . 2008-11-26 15:01 21,102,157 --a------ c:\windows\LPT$VPN.677 2008-11-26 15:02 . 2008-11-26 15:30 517 --a------ c:\windows\TSC.INI 2008-11-26 15:01 . 2008-11-26 15:01 d-------- c:\windows\AU_Backup 2008-11-26 15:01 . 2008-11-26 15:01 21,102,157 --a------ c:\windows\VPTNFILE.677 2008-11-26 15:01 . 2008-11-26 15:01 1,213,784 --a------ c:\windows\vsapi32.dll 2008-11-26 15:01 . 2008-11-26 15:01 91,744 --a------ c:\windows\BPMNT.dll 2008-11-26 14:59 . 2008-11-26 15:01 d-------- c:\windows\AU_Temp 2008-11-26 14:56 . 2008-11-26 14:56 d-------- c:\windows\AU_Log 2008-11-26 14:56 . 2008-11-26 14:56 507,904 --a------ c:\windows\TMUPDATE.DLL 2008-11-26 14:56 . 2008-11-26 14:56 286,720 --a------ c:\windows\PATCH.EXE 2008-11-26 14:56 . 2008-11-26 14:56 69,689 --a------ c:\windows\UNZIP.DLL 2008-11-26 14:56 . 2008-11-26 15:00 170 --a------ c:\windows\GetServer.ini 2008-11-26 13:11 . 2008-11-27 17:28 1,534 --a------ c:\windows\system32\tmp.reg 2008-11-26 13:10 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe 2008-11-26 13:10 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe 2008-11-26 13:10 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe 2008-11-26 13:10 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\o4Patch.exe 2008-11-26 13:10 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe 2008-11-26 13:10 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe 2008-11-26 13:10 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe 2008-11-26 13:10 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe 2008-11-26 13:10 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe 2008-11-26 13:10 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe 2008-11-26 00:26 . 2008-11-26 00:26 d-------- C:\VundoFix Backups 2008-11-26 00:09 . 2008-11-26 00:09 d-------- c:\documents and settings\Utilisateur\Application Data\InstallShield 2008-11-25 22:55 . 2008-11-25 22:55 d-------- C:\_OTMoveIt 2008-11-25 20:38 . 2008-11-25 20:38 d-------- c:\windows\ERUNT 2008-11-25 18:20 . 2008-11-26 23:51 463 --a------ c:\windows\system32\win32hlp.cnf 2008-11-25 13:14 . 2008-11-25 13:14 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll 2008-11-25 07:46 . 2008-11-25 20:02 d-------- C:\TEMP 2008-11-24 23:56 . 2008-11-24 23:56 d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\Utilisateur\Application Data\Babylon 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\All Users\Application Data\Babylon 2008-11-23 15:00 . 2008-11-23 15:00 d--hs---- c:\windows\ftpcache 2008-11-15 15:26 . 2008-11-15 22:19 d-------- c:\documents and settings\Utilisateur\Application Data\Mumble 2008-11-14 23:24 . 2008-11-15 15:26 d-------- c:\program files\Mumble 2008-11-13 07:46 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2008-11-13 07:46 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-09 20:43 . 2008-05-30 14:19 507,400 --a------ c:\windows\system32\XAudio2_1.dll 2008-11-09 20:43 . 2008-05-30 14:17 65,032 --a------ c:\windows\system32\XAPOFX1_0.dll 2008-11-09 20:42 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll 2008-11-09 20:42 . 2008-05-30 14:18 238,088 --a------ c:\windows\system32\xactengine3_1.dll 2008-11-09 20:42 . 2008-05-30 14:17 25,608 --a------ c:\windows\system32\X3DAudio1_4.dll 2008-11-09 20:41 . 2008-11-09 20:41 d-------- c:\program files\MSBuild 2008-11-09 20:39 . 2008-11-10 17:15 d-------- c:\windows\system32\XPSViewer 2008-11-09 20:38 . 2008-11-09 20:38 d-------- c:\program files\Reference Assemblies 2008-11-09 20:38 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-25 23:04 --------- d-----w c:\program files\Trend Micro 2008-11-25 22:53 --------- d-----w c:\program files\Malwarebytes' Anti-Malware 2008-11-23 16:31 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-22 17:03 --------- d-----w c:\program files\Codemasters 2008-11-11 11:09 --------- d-----w c:\program files\Electronic Arts 2008-11-09 19:55 107,888 ----a-w c:\windows\system32\CmdLineExt.dll 2008-11-07 18:12 --------- d-----w c:\program files\Wanadoo 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2008-09-28 10:55 --------- d-----w c:\program files\Mount&Blade 2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll 2008-09-06 18:32 304,528 ----a-w c:\windows\system32\appdrvrem01.exe 2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-01-19 10:58 22,328 ----a-w c:\documents and settings\Utilisateur\Application Data\PnkBstrK.sys 2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe 2004-08-04 00:55 25,088 --sha-r c:\windows\system32\userinit.exe . ((((((((((((((((((((((((((((( snapshot@2008-11-27_22.56.14,23 ))))))))))))))))))))))))))))))))))))))))) . + 2008-11-28 17:40:23 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\temp\Perflib_Perfdata_4e4.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2007-12-15 482760] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928] "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832] "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-18 81000] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-16 185896] "nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Valve\Steam\SteamApps\raknar\counter-strike source\hl2.exe"= "c:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"= "c:\WINDOWS\system32\PnkBstrA.exe"= "c:\WINDOWS\system32\PnkBstrB.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\BitTorrent\bittorrent.exe"= "c:\Program Files\CRS\Battleground Europe\WW2_sse2.exe"= "c:\Program Files\Codemasters\GRID\GRID.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\xrEngine.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\dedicated\xrEngine.exe"= "c:\Program Files\Curse\CurseClient.exe"= R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-09-06 2915944] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 110160] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-05 20560] R3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;c:\windows\system32\DRIVERS\AN983.sys [2002-01-05 36224] S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\setup.exe . Contenu du dossier 'Tâches planifiées' 2008-11-28 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-28 20:39:11 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\8d8b8bcd] "ImagePath"="\SystemRoot\System32\drivers\8d8b8bcd.sys" . Heure de fin: 2008-11-28 20:39:51 ComboFix-quarantined-files.txt 2008-11-28 19:39:42 ComboFix2.txt 2008-11-28 11:01:09 ComboFix3.txt 2008-11-27 21:56:36 Avant-CF: 37 168 254 976 octets libres Après-CF: 37,172,600,832 octets libres 341 --- E O F --- 2008-11-25 21:59:10 ______________________________________________________________________________________________________________________________________________________________________________________ et le second rapport Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:45:49, on 28/11/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\imapi.exe C:\WINDOWS\explorer.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\internet explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Lyonnais92 · Answer

Re,

    Ouvre le registre et navigue avec les + et les - jusqu'à la clé

HKEY_LOCAL_MACHINE\system\ControlSet001\Services\8d8b8bcd

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : 8d8b8bcd
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Venisia54 · Answer

re

je ne trouve pas 8d8b8bcd lors de la 1ere etape:(

Lyonnais92 · Answer

Ren

fais la seconde partie (recherche avec OAD)

Venisia54 · Answer

voici le rapport

 28/11/2008 ---- 22:30:51,35  

----------------------------------
§§§§§§ [8d8b8bcd] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\8d8b8bcd]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\8d8b8bcd]
"ImagePath"="\SystemRoot\System32\drivers\8d8b8bcd.sys"

[HKEY_USERS\S-1-5-21-1220945662-527237240-682003330-1004\Software\Microsoft\Search Assistant\acmru\5603]
"000"="8d8b8bcd"

[HKEY_USERS\S-1-5-21-1220945662-527237240-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\comdlg32\opensavemru\*]
"i"="C:\WINDOWS\system32\drivers\8d8b8bcd.sys"

[HKEY_USERS\S-1-5-21-1220945662-527237240-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\comdlg32\opensavemru\sys]
"a"="C:\WINDOWS\system32\drivers\8d8b8bcd.sys"

*******************
     [Fichier] 
*******************

c:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\8d8b8bcd.sys.vir


*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Lyonnais92 · Answer

Re,

et un tour de plus, un.

Comment va l'ordi ?

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
appdrvrem01

 
 
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\8d8b8bcd] 
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\8d8b8bcd] 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\8d8b8bcd] 


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Venisia54 · Answer

voici le rapport combofix, mais mon pc a reboot pendant l operation et avast c est remit en route au redemarrage. ComboFix 08-11-27.03 - Utilisateur 2008-11-28 23:59:43.7 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1595 [GMT 1:00] Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Utilisateur\Bureau\CFscript * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_APPDRVREM01 -------\Service_appdrvrem01 ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-28 au 2008-11-28 )))))))))))))))))))))))))))))))))))) . 2008-11-28 19:16 . 2008-11-28 19:16 d-------- C:\[First select your RTW where EB1.1 is, then remove this] 2008-11-27 14:23 . 2004-08-04 01:55 25,088 -rahs---- c:\windows\system32\userinit.exe 2008-11-27 02:29 . 2008-11-27 12:35 d-------- C:\expand 2008-11-26 15:02 . 2008-11-26 15:01 21,102,157 --a------ c:\windows\LPT$VPN.677 2008-11-26 15:02 . 2008-11-26 15:30 517 --a------ c:\windows\TSC.INI 2008-11-26 15:01 . 2008-11-26 15:01 d-------- c:\windows\AU_Backup 2008-11-26 15:01 . 2008-11-26 15:01 21,102,157 --a------ c:\windows\VPTNFILE.677 2008-11-26 15:01 . 2008-11-26 15:01 1,213,784 --a------ c:\windows\vsapi32.dll 2008-11-26 15:01 . 2008-11-26 15:01 91,744 --a------ c:\windows\BPMNT.dll 2008-11-26 14:59 . 2008-11-26 15:01 d-------- c:\windows\AU_Temp 2008-11-26 14:56 . 2008-11-26 14:56 d-------- c:\windows\AU_Log 2008-11-26 14:56 . 2008-11-26 14:56 507,904 --a------ c:\windows\TMUPDATE.DLL 2008-11-26 14:56 . 2008-11-26 14:56 286,720 --a------ c:\windows\PATCH.EXE 2008-11-26 14:56 . 2008-11-26 14:56 69,689 --a------ c:\windows\UNZIP.DLL 2008-11-26 14:56 . 2008-11-26 15:00 170 --a------ c:\windows\GetServer.ini 2008-11-26 13:11 . 2008-11-27 17:28 1,534 --a------ c:\windows\system32\tmp.reg 2008-11-26 13:10 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe 2008-11-26 13:10 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe 2008-11-26 13:10 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe 2008-11-26 13:10 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\o4Patch.exe 2008-11-26 13:10 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe 2008-11-26 13:10 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe 2008-11-26 13:10 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe 2008-11-26 13:10 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe 2008-11-26 13:10 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe 2008-11-26 13:10 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe 2008-11-26 00:26 . 2008-11-26 00:26 d-------- C:\VundoFix Backups 2008-11-26 00:09 . 2008-11-26 00:09 d-------- c:\documents and settings\Utilisateur\Application Data\InstallShield 2008-11-25 22:55 . 2008-11-25 22:55 d-------- C:\_OTMoveIt 2008-11-25 20:38 . 2008-11-25 20:38 d-------- c:\windows\ERUNT 2008-11-25 18:20 . 2008-11-26 23:51 463 --a------ c:\windows\system32\win32hlp.cnf 2008-11-25 13:14 . 2008-11-25 13:14 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll 2008-11-25 07:46 . 2008-11-25 20:02 d-------- C:\TEMP 2008-11-24 23:56 . 2008-11-24 23:56 d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\Utilisateur\Application Data\Babylon 2008-11-24 21:51 . 2008-11-24 21:51 d-------- c:\documents and settings\All Users\Application Data\Babylon 2008-11-23 15:00 . 2008-11-23 15:00 d--hs---- c:\windows\ftpcache 2008-11-15 15:26 . 2008-11-15 22:19 d-------- c:\documents and settings\Utilisateur\Application Data\Mumble 2008-11-14 23:24 . 2008-11-15 15:26 d-------- c:\program files\Mumble 2008-11-13 07:46 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2008-11-13 07:46 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-09 20:43 . 2008-05-30 14:19 507,400 --a------ c:\windows\system32\XAudio2_1.dll 2008-11-09 20:43 . 2008-05-30 14:17 65,032 --a------ c:\windows\system32\XAPOFX1_0.dll 2008-11-09 20:42 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll 2008-11-09 20:42 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll 2008-11-09 20:42 . 2008-05-30 14:18 238,088 --a------ c:\windows\system32\xactengine3_1.dll 2008-11-09 20:42 . 2008-05-30 14:17 25,608 --a------ c:\windows\system32\X3DAudio1_4.dll 2008-11-09 20:41 . 2008-11-09 20:41 d-------- c:\program files\MSBuild 2008-11-09 20:39 . 2008-11-10 17:15 d-------- c:\windows\system32\XPSViewer 2008-11-09 20:38 . 2008-11-09 20:38 d-------- c:\program files\Reference Assemblies 2008-11-09 20:38 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-25 23:04 --------- d-----w c:\program files\Trend Micro 2008-11-25 22:53 --------- d-----w c:\program files\Malwarebytes' Anti-Malware 2008-11-23 16:31 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-22 17:03 --------- d-----w c:\program files\Codemasters 2008-11-11 11:09 --------- d-----w c:\program files\Electronic Arts 2008-11-07 18:12 --------- d-----w c:\program files\Wanadoo 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2008-09-28 10:55 --------- d-----w c:\program files\Mount&Blade 2008-01-19 10:58 22,328 ----a-w c:\documents and settings\Utilisateur\Application Data\PnkBstrK.sys 2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe 2004-08-04 00:55 25,088 --sha-r c:\windows\system32\userinit.exe . ((((((((((((((((((((((((((((( snapshot@2008-11-27_22.56.14,23 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE + 2008-11-28 23:03:43 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\temp\Perflib_Perfdata_490.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2007-12-15 482760] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928] "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832] "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-18 81000] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-16 185896] "nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Valve\Steam\SteamApps\raknar\counter-strike source\hl2.exe"= "c:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"= "c:\WINDOWS\system32\PnkBstrA.exe"= "c:\WINDOWS\system32\PnkBstrB.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\BitTorrent\bittorrent.exe"= "c:\Program Files\CRS\Battleground Europe\WW2_sse2.exe"= "c:\Program Files\Codemasters\GRID\GRID.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\xrEngine.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\dedicated\xrEngine.exe"= "c:\Program Files\Curse\CurseClient.exe"= R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-09-06 2915944] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 110160] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-05 20560] R3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;c:\windows\system32\DRIVERS\AN983.sys [2002-01-05 36224] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\setup.exe . Contenu du dossier 'Tâches planifiées' 2008-11-28 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-29 00:03:59 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\program files\Windows Defender\MsMpEng.exe c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\windows\system32\FTRTSVC.exe c:\program files\Fichiers communs\LightScribe\LSSrvc.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\PnkBstrA.exe c:\program files\CyberLink\Shared Files\RichVideo.exe c:\windows\system32\wdfmgr.exe c:\program files\Alwil Software\Avast4\ashMaiSv.exe c:\program files\Alwil Software\Avast4\ashWebSv.exe c:\windows\system32\rundll32.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2008-11-29 0:05:36 - La machine a redémarré ComboFix-quarantined-files.txt 2008-11-28 23:05:34 ComboFix2.txt 2008-11-28 19:39:52 ComboFix3.txt 2008-11-28 11:01:09 ComboFix4.txt 2008-11-27 21:56:36 Avant-CF: 37 018 034 176 octets libres Après-CF: 37,026,308,096 octets libres 174 --- E O F --- 2008-11-25 21:59:10 ______________________________________________________________________________________________________________________________________________________________________________________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:08:17, on 29/11/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Program Files\internet explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Lyonnais92 · Answer

Re,

pour tes droits :

télécharge ici : http://www.downloads.subratam.org/VX2Finder.exe

Lance le  et clique sur le bouton "Restore Policy", 

Redémarre l'ordi.

Tiens moi au courant.

Venisia54 · Answer

ça n a pas fonctionné, la fenetre s ouvre tjrs :(

Lyonnais92 · Answer

Bonjour,

- est ce que le compte "Administrateur" a un mot de passe ?

- est ce que le compte "Utilisateur" a un mot de passe ?

- est ce que le seul compte qui apparait en démarrage en mode normal est le compte "utilisateur" ?

Venisia54 · Answer

Bonsoir,
Les 2 comptes n'ont aucun mot de passe.
Oui y'a que le compte utilisateur qui apparait.

Lyonnais92 · Answer

Re,

fais redémarrer en mode sans échec.

Mets un mot de passe sur chacune des sessions (et ne l'oublie pas !!!!!!)

Tu peux mettre qq chose de facile à retenir pour toi.

fais redémarrer en mode normal.

Toujours la même chose ?

Venisia54 · Answer

bonjour,

je ne sais pas comment faire pour mettre un mot de passe:(

Lyonnais92 · Answer

Bonjour,

démarrer, Panneau de configuration, Comptes utilisateurs.

Tu choisis un compte à modifier et tu vas avoir 'Créer un mot de passe'.

Il faut que tu ailles en mode sans échec pour "voir" le compte Administrateur.

Si tu ne le vois pas, il faut le choisir dans l'écran d'accueil.

Venisia54 · Answer

re,

apres cette manip je dois maintenant taper un mot de passe

j ai remarqué que le pc ne démarrait pas exactement une fois sur deux, en se figeant sur la page d acceuil de windows ( windows est en cours de démarrage).

Lyonnais92 · Answer

Re,

oui, ça c'est normal.

En mode normal, ouvre ta session.

Démarrer, Panneau de configuration, Comptes utilisateurs.

Choisis ton compte.

Supprime le mot de passe.

Fais redémarrer l'ordi.

Pas de changement (hormis la suppression du mot de passe) ?

Venisia54 · Answer

bonjour

non pas de changement:(

tjrs la fenetre limite de comptes atteint, et l icone utilisateur.

c normal qui se fige une fois sur 2??

Lyonnais92 · Answer

Bonjour,

non, ce n'est pas normal.

Pour essayer de comprendre ce qui se passe, peux tu faire ça :

      Ouvre le registre et navigue avec les + et les - jusqu'à la clé

    HKEY_LOCAL_MACHINE\SYSTEM\Select

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

(Pour ouvrir le regsitre, Démarrer, Exécuter, taper ou sélectionner regedit et OK)

Venisia54 · Answer

re,
voila le contenu:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\Select]
"Current"=dword:00000001
"Default"=dword:00000001
"Failed"=dword:00000000
"LastKnownGood"=dword:00000003


je ne sais pas si cela a de l importance mais le pc emet un bib juste avant que la page de démarrage de windows se fige.

Lyonnais92 · Answer

Re,

quand tu ouvres le registre sur la clé HKLM\System, tu vois 

ControlSet000
ControlSet001
ControSet002
ControlSet003
CurrentControlSet

ou il manque le 002 ?

Venisia54 · Answer

il manque le 000

Lyonnais92 · Answer

Re,

démarre avec la procédure de démarrage en mode sans échec.

Tu dois avoir une option Dernière bonne configuration connue.

Choisis là.

Comment s'est passé le démarrage.


Redémarre à nouveau.

Comment ça s'est passé ?

Venisia54 · Answer

salut

ca n a rien changé:(

Venisia54 · Answer

bonjour,

pas de solution??:(

Utilisateur anonyme · Answer

Bonsoir, Lyonnais a dû t'oublier sans le faire exprès. je vais te demander 2-3 trucs stp. J'ai l'impression que tu as une cochonnerie chinoise. Les manip sont à faire dans l'ordre ;) Peux-tu me dire ce qu'est ce programme ? C'est un jeu qui vient d'où ? Tu l'as acheté ? c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. Puis, > Télécharge DirLook (de jpshortstuff) : http://jpshortstuff.247fixes.com/DirLook.exe - Double-clique sur DirLook.exe pour le lancer. - Assure-toi que "Show Hidden Files" et "BBCode Ouput" soient bien cochés. - Copie/colle le contenu suivant dans le champ texte principal : c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - Clique sur le bouton pour lancer l'examen. Quand il est terminé, une fenêtre du Bloc-notes va s'ouvrir avec le résultat du scan. - Poste le contenu ce rapport dans ta prochaine réponse. (Le rapport se trouve aussi ici C:\dl_log.txt). Note : Il se peut que l'examen prenne plus de temps pour de gros répertoires. Ensuite, > Rends toi sur le site Virus Total : https://www.virustotal.com/gui/ et fais analyser le/les fichier(s) suivant(s) : (Clique sur puis copie/colle la/les ligne(s) dans le cadre "Nom du Fichier", ensuite valide par . Clique alors sur ) C:\WINDOWS\System32\appdrvrem01.exe C:\WINDOWS\System32\win32hlp.cnf et poste le/les résultat(s) par copier/coller (ou le/les lien(s) http, c'est plus rapide et préférable). N.B. : Les fichiers doivent être analysés un par un. Ouvrir plusieurs fenêtres sur Virus Total peut bloquer les envois. Maintenant, j'ai la nette impression que des fichiers sont manquant sur ton PC, donc : > Fais une récupération système : Tu as besoin du CD Windows pour cela. - Relance alors ton PC avec le CDRom Windows déjà dans le lecteur => Windows Install se lance normalement (sinon regarde plus bas : "NB"). - Choisis ensuite Réparer windows en appuyant sur la touche R du clavier. - Puis tape à l'invite C:\Windows> ou C:\Winnt> ceci : chkdsk Tuto ici. Résumé : Boot CD => récupération de XP => c:\chkdsk (sous l'invite dos : c:\) NB : Si le PC ne démarre pas depuis le CD Windows : - Redémarre ton PC puis accède au BIOS (Pour accéder au BIOS il faut appuyer sur F1 ou F2 au démarrage du PC). - Il faut que tu choisisses CDROM en première séquence de boot. (Tuto. Regarde surtout ici). Dis moi où tu rencontres des problèmes sinon. Pour finir, > Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe - Enregistre le programme sur ton bureau. - Double clique sur RSIT.exe - A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur . - Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence. - Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum. NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi. Merci. Bon courage. A+ _________________________________________ Les lignes ci-dessous sont pour moi, un pense bête... (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Utilisateur\Application Data\.# c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@3841A8.### c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@3841D8.### c:\documents and settings\Utilisateur\Application Data\.#\MBX@BDC@384208.###

Lyonnais92 · Answer

Bonjour venisia,

l'intervention de DllD m'a amené à relire l'intégralité du topic.

Ton infection est liée au téléchargement de Babylon. Le site où tu l'as téléchargé est probablement infecté.

Te souviens tu où c'était ?

Ne mets pas l'url du site avec http: quelqu'un d'autre risquerait d'être infecté à son tour. Si tu donnes quelque chose, remplace http par hxxp.

=================

Comme je l'ai dit dès ma première intervention, il semble que la réinstallation de windows a été faite de manière qui ne garantisse pas son authenticité.

Les mises à jour de Windows se font ?

=================

Le jeu GSC World Publishing n'est pour rien dans ton infection (même si le mode de téléchargement et le fait d'utiliser un crack, si c'est le cas, sont probablement à hauts risques).
D'ailleurs le répertoire c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. n'existe pas.

==============

Inutile de faire scanner sur VirusTotal C:\WINDOWS\System32\appdrvrem01.exe 

qui n'existe plus (il a d'ailleurs été avant le 25 /11/2008).

Le pilote associé appdrvrem01 n'existe plus non plus.

===============

Inutile aussi de faire scanner C:\WINDOWS\System32\win32hlp.cnf a été identifié par chiquitine comme appartenant à TROJ_DLOAD.LU

Par contre, il a effectivement résisté à toutes les suppressions. Plus exactement, il est supprimé mais est régénéré à chaque redémarrage.

================

Fais ceci :

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : win32hlp
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)

Venisia54 · Answer

Bonjour,
Désolé pour le temps de réponse et encore merci pour toute l'aide que tu nous apporte :)
10/12/2008 ---- 12:06:39,04  

----------------------------------
§§§§§§ [win32hlp] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************

c:\WINDOWS\system32\win32hlp.cnf


*********************
     [Même date] 
*********************

[25/11/2008 ] ---> C:apport.txt   
[25/11/2008 ] ---> C:\TCleaner.txt   
[25/11/2008 ] ---> C:\WINDOWS\0.log   
[25/11/2008 ] ---> C:\WINDOWS\comsetup.log   
[25/11/2008 ] ---> C:\WINDOWS\DHCPUPG.LOG   
[25/11/2008 ] ---> C:\WINDOWS\FaxSetup.log   
[25/11/2008 ] ---> C:\WINDOWS\fdsv.exe   
[25/11/2008 ] ---> C:\WINDOWS\grep.exe   
[25/11/2008 ] ---> C:\WINDOWS\iis6.log   
[25/11/2008 ] ---> C:\WINDOWS\imsins.log   
[25/11/2008 ] ---> C:\WINDOWS\KB956390-IE7.log   
[25/11/2008 ] ---> C:\WINDOWS\msgsocm.log   
[25/11/2008 ] ---> C:\WINDOWS
tbtlog.txt   
[25/11/2008 ] ---> C:\WINDOWS
tdtcsetup.log   
[25/11/2008 ] ---> C:\WINDOWS\ocgen.log   
[25/11/2008 ] ---> C:\WINDOWS\ocmsn.log   
[25/11/2008 ] ---> C:\WINDOWS\sed.exe   
[25/11/2008 ] ---> C:\WINDOWS\setupact.log   
[25/11/2008 ] ---> C:\WINDOWS\setupapi.log   
[25/11/2008 ] ---> C:\WINDOWS\setuperr.log   
[25/11/2008 ] ---> C:\WINDOWS\SWREG.exe   
[25/11/2008 ] ---> C:\WINDOWS\SWSC.exe   
[25/11/2008 ] ---> C:\WINDOWS\SWXCACLS.exe   
[25/11/2008 ] ---> C:\WINDOWS\system32	mp.txt   
[25/11/2008 ] ---> C:\WINDOWS\system32\win32hlp.cnf   
[25/11/2008 ] ---> C:\WINDOWS	soc.log   
[25/11/2008 ] ---> C:\WINDOWS\VFIND.exe   
[25/11/2008 ] ---> C:\WINDOWS\WindowsUpdate.log   
[25/11/2008 ] ---> C:\WINDOWS\WINNT32.LOG   
[25/11/2008 ] ---> C:\WINDOWS\zip.exe

Lyonnais92 · Answer

Bonsoir,

1. Télécharge The Avenger par Swandog46 sur le Bureau
 
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras  ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to delete:
c:\WINDOWS\system32\win32hlp.cnf 
 
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.  
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger.  Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

6 refais tourner OAD sur win32hlp et poste le rapport.

Venisia54 · Answer

bonjour,

je suis désolée peux tu etre plus précis sur ce passage stp:

refais tourner OAD sur win32hlp et poste le rapport

Je n'ai pas eu de fenêtre noire au re-démarrage
Voici le rapport:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\WINDOWS\system32\win32hlp.cnf" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Lyonnais92 · Answer

Re,

fais ceci :

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de :

win32hlp


- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post. 

C'est la méthode la plus simple pour vérifier que le fichier est bien mort.

Venisia54 · Answer

Bonsoir,
Voici le rapport:

 11/12/2008 ---- 19:49:53,84  

----------------------------------
§§§§§§ [win32hlp] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------


Mais maintenant, il faut que je reset 3 ou 4 fois le PC avant d'arriver enfin au message impossible d'ouvrir une session sinon il bloque sur l'écran de démarrage de windows.

Lyonnais92 · Answer

Re,

il m'arrive aussi, de temps en temps d'avoir un démarrage long.

Essaye de le redémarrer jusqu'à ce que tu ais 2  démarrages consécutifs normaux.

Tu attends que la procédure de démarrage soit terminée avant de la relancer.


Quand "il bloque", le disque dur ne travaille jamais ou très rarement ?

Venisia54 · Answer

bonjour

quant il bloque le pc emet un bip puis apparait la page de démarrage de windows.
Im me semble que le disque dur tourne pas à ce moment.

au secours avast viens de me retrouver un virus dans le systeme 32 , un rooktip, avec comme solution soit ignorer soit supprimer, j ai choisi ignorer comme il me conseillait.

Lyonnais92 · Answer

Re,

il y a un "faux positif" de avast actuellement.

Tu peux donner le fichier concerné et le nom de la menace ?

Fais aussi ceci :

Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Le tutoriel de PCA :
https://forum.pcastuces.com/default.asp

Venisia54 · Answer

re

le scan n est pas fini mais voila le fichier douteux pour avast:
C:\WINDOWS\SYSTEM32\process.exe

type; Rootkit:processus cachés

kaspersky a trouvé 2 virus et 4 fichiers infectés mais j attend tjrs le rapport:(:(:(:

Lyonnais92 · Answer

Re,

fais ça :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\SYSTEM32\process.exe 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Venisia54 · Answer

re voici le rapport AhnLab-V3 2008.12.12.2 2008.12.12 - AntiVir 7.9.0.45 2008.12.12 - Authentium 5.1.0.4 2008.12.12 - Avast 4.8.1281.0 2008.12.12 - AVG 8.0.0.199 2008.12.13 - BitDefender 7.2 2008.12.13 - CAT-QuickHeal 10.00 2008.12.12 - ClamAV 0.94.1 2008.12.12 Trojan.Killproc-1 Comodo 741 2008.12.12 - DrWeb 4.44.0.09170 2008.12.13 Tool.Prockill eSafe 7.0.17.0 2008.12.11 - eTrust-Vet 31.6.6258 2008.12.12 - Ewido 4.0 2008.12.12 - F-Prot 4.4.4.56 2008.12.12 - F-Secure 8.0.14332.0 2008.12.12 - Fortinet 3.117.0.0 2008.12.12 Misc/PrcViewer GData 19 2008.12.13 - Ikarus T3.1.1.45.0 2008.12.12 - K7AntiVirus 7.10.552 2008.12.12 - Kaspersky 7.0.0.125 2008.12.13 - McAfee 5461 2008.12.11 potentially unwanted program PrcViewer McAfee+Artemis 5461 2008.12.11 potentially unwanted program PrcViewer Microsoft 1.4205 2008.12.13 - NOD32 3688 2008.12.12 Win32/PrcView Norman 5.80.02 2008.12.12 - Panda 9.0.0.4 2008.12.12 - PCTools 4.4.2.0 2008.12.12 - Prevx1 V2 2008.12.13 - Rising 21.07.42.00 2008.12.12 - SecureWeb-Gateway 6.7.6 2008.12.12 - Sophos 4.36.0 2008.12.12 - Sunbelt 3.2.1801.2 2008.12.11 - Symantec 10 2008.12.12 - TheHacker 6.3.1.2.186 2008.12.12 Aplicacion/Processor.20 TrendMicro 8.700.0.1004 2008.12.12 - VBA32 3.12.8.10 2008.12.12 - ViRobot 2008.12.12.1515 2008.12.12 - VirusBuster 4.5.11.0 2008.12.12 - Information additionnelle File size: 53248 bytes MD5...: 7397f6ee4a9601a123b645c0cd428017 SHA1..: 890368473ecbc404dcd42ff0c6c38397102f59c0 SHA256: 5aaf73ef89f0efab963abb170bc9b7cd7d4d5bd7a691cd83137b4cc39cd120de SHA512: 8c9f85b64d8c1c43a11e654609d357fffdada311422cc02e5efbf1243b4d35fc 20f4a58b1a663f85717d8a626c3db8f59af62d7044ed02974cd3d2b107f08784 ssdeep: 768:ORWMA68kDGXcK1JP9COApZsLUFDeLHAwu0aB0wWYS/a/x9GYDM0+0O:OkMKH 9fApDFPgiKMM0I PEiD..: - TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x402b42 timedatestamp.....: 0x3edf2cf1 (Thu Jun 05 11:43:45 2003) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x7bea 0x8000 6.52 c01fadec01aae81015745dad0ecda107 .rdata 0x9000 0x1dfc 0x2000 5.10 e5217bccc8786d801b7a78bb7cce029c .data 0xb000 0x1fc8 0x1000 2.67 5ba738a705a45c4209cbffe7469d458a .rsrc 0xd000 0x3c0 0x1000 0.99 0967ff97890b79a40016a44e82666655 ( 3 imports ) > KERNEL32.dll: GetLastError, GetProcessAffinityMask, OpenProcess, Sleep, TerminateProcess, WaitForSingleObject, SetPriorityClass, lstrcmpiA, HeapFree, ResumeThread, SuspendThread, GetVersionExA, WideCharToMultiByte, HeapAlloc, CloseHandle, GlobalFree, GlobalAlloc, FileTimeToSystemTime, SystemTimeToFileTime, GetSystemTime, LocalFree, FormatMessageA, HeapSize, RtlUnwind, LCMapStringW, LCMapStringA, VirtualQuery, GetSystemInfo, SetProcessAffinityMask, LoadLibraryA, GetProcAddress, FreeLibrary, GetProcessHeap, GetCurrentProcess, ExitProcess, GetModuleHandleA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, GetACP, GetOEMCP, GetCPInfo, FlushFileBuffers, SetFilePointer, GetLocaleInfoA, VirtualProtect, SetStdHandle > USER32.dll: CloseDesktop, EnumDesktopWindows, GetWindowThreadProcessId, PostMessageA, OpenDesktopA > ADVAPI32.dll: LookupAccountSidA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, GetTokenInformation ( 0 exports ) ThreatExpert info: https://www.symantec.com?md5=7397f6ee4a9601a123b645c0cd428017

Lyonnais92 · Answer

Bonjour,

tu as la date de création du fichier sur ton ordi ?

Tu peux poster les rapports ?

Venisia54 · Answer

bonjour
voici les proprietés du fichier

process.exe

application     

Command Line Process Utility

52,0 Ko (53 248 octets)

créee le mercredi 26 novembre 2008, 13:10:25
modifié le jeudi 5 juin 2003, 20:13:00

description Command Line Process Utility
Copyright 2003 Craig.Peacock@beyondlogic
https://www.beyondlogic.org/

Venisia54 · Answer

je ne comprend pas je n ai jamais de rapport a la fin du scan en ligne de kapersly:(:(:(

Lyonnais92 · Answer

Re,

1) supprime C:\WINDOWS\SYSTEM32\process.exe

2) à la fin du scan kaspersky tu n'as pas un bouton qui te propose de créer le rapport ?

Venisia54 · Answer

bonjour

j ai supprimer le fichier , et depuis je n ai pas eu pour l instant de blocage sur la page de windows:)

Mais à la fin de scan toujours pas de possibilite d avoir un rapport. J ai regardé le tutorial du programme mais à la fin du scan je n'ai pas les fenetres avec les choix qui apparaissent:(.

Il marque juste 2 virus trouvé et 4 fichiers infectés.(je n ai pas fait de scan depuis la suppression )

Lyonnais92 · Answer

Bonjour,

on va faire (ou refaire ?) un peu de nettoyage.

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Venisia54 · Answer

re

voici le rapport

[ Rapport ToolsCleaner version 2.2.7 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\VundoFix.txt: trouvé !
C:\Combofix.txt: trouvé !
C:\avenger.txt: trouvé !
C:\avenger: trouvé !
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\avenger.zip: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\avenger.exe: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\OAD.exe: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Utilisateur\Bureau\utilitaire\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\C\SDFIX: trouvé !
C:\WINDOWS\NIRCMD.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\avenger.zip: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\avenger.exe: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Utilisateur\Bureau\vundoFix.exe: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\utilitaire\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\VundoFix.txt: supprimé !
C:\Combofix.txt: supprimé !
C:\avenger.txt: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\OAD.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\WINDOWS\NIRCMD.exe: supprimé !
C:\avenger: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Utilisateur\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!

Lyonnais92 · Answer

Re,

tu supprimes ToolsCleaner sur ton Bureau et C:\TCleaner.txt.

Tu fais aussi Démarrer, Exécuter et tu tapes combofix /u dans la zone de saisie puis OK.

===========

Où en est on de tes problèmes ?

Venisia54 · Answer

re

le seul truc un peu étrange c est  la fenetre de limitation de comptes atteint qui s ouvre avant le choix de la session.

Lyonnais92 · Answer

Re,

c'est ça le problème ?

https://support.microsoft.com/fr-fr/help/303846

si oui, tu as la solution à la fin.

===

Il est probable que tu n'as pas gpedit.msc.

Pour l'installer :

https://1map.com/fr/astwindscom

Venisia54 · Answer

Bonjour

En effet le probleme semble identique meme si ce n est pas une connexion a distance dans mon cas.
J ai egalement crié victoire trop vite, le pc continue souvent a se bloquer sur la page de démarage windows:(

je v essayer la manip.

Venisia54 · Answer

re
je n arrive pas a installer le programme:(

je suis la procedure mais quand je veux l executer j obtient fichier introuvable:(

(j ai du l installer manuellement car l instalation auto ne fonctionnait pas:(

Venisia54 · Answer

re

rien  a faire je n arrive pas a faire fonctionner ce programme:(

Lyonnais92 · Answer

Bonjour,

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

Venisia54 · Answer

re voila le rapport ComboFix 08-12-28.01 - Utilisateur 2008-12-28 20:25:28.8 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2047.1542 [GMT 1:00] Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe AV: avast! antivirus 4.8.1296 [VPS 081228-0] *On-access scanning disabled* (Outdated) * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\404Fix.exe c:\windows\system32\dumphive.exe c:\windows\system32\IEDFix.C.exe c:\windows\system32\IEDFix.exe c:\windows\system32\o4Patch.exe c:\windows\system32\SrchSTS.exe c:\windows\system32 mp.reg c:\windows\system32\VACFix.exe c:\windows\system32\VCCLSID.exe c:\windows\system32\WS2Fix.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-28 au 2008-12-28 )))))))))))))))))))))))))))))))))))) . 2008-12-22 23:52 . 2008-12-22 23:52 d-------- c:\program files\QuickTime Alternative 2008-12-22 23:52 . 2008-12-22 23:52 d-------- c:\documents and settings\All Users\Application Data\Apple Computer 2008-12-22 23:52 . 2008-01-31 23:13 90,112 --a------ c:\windows\system32\QuickTimeVR.qtx 2008-12-22 23:52 . 2008-01-31 23:13 57,344 --a------ c:\windows\system32\QuickTime.qts 2008-12-20 19:39 . 2008-12-20 19:39 d-------- c:\program files\Eidos 2008-12-12 19:28 . 2008-12-12 19:28 d-------- c:\windows\system32\Kaspersky Lab 2008-12-06 12:43 . 2008-12-06 12:44 d-------- c:\program files\Fichiers communs\Adobe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-22 22:52 --------- d-----w c:\documents and settings\Utilisateur\Application Data\Apple Computer 2008-12-17 17:34 --------- d-----w c:\program files\Trend Micro 2008-12-15 22:17 --------- d-----w c:\program files\Wanadoo 2008-12-10 20:23 --------- d-----w c:\documents and settings\Utilisateur\Application Data eamspeak2 2008-11-29 17:04 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-29 15:56 138,464 ----a-w c:\windows\system32\drivers\PnkBstrK.sys 2008-11-29 15:56 111,928 ----a-w c:\windows\system32\PnkBstrB.exe 2008-11-29 15:41 682,280 ----a-w c:\windows\system32\pbsvc.exe 2008-11-29 15:41 66,872 ----a-w c:\windows\system32\PnkBstrA.exe 2008-11-29 15:41 22,328 ----a-w c:\documents and settings\Utilisateur\Application Data\PnkBstrK.sys 2008-11-26 14:01 91,744 ----a-w c:\windows\BPMNT.dll 2008-11-26 14:01 1,213,784 ----a-w c:\windows\vsapi32.dll 2008-11-26 13:56 69,689 ----a-w c:\windows\UNZIP.DLL 2008-11-26 13:56 507,904 ----a-w c:\windows\TMUPDATE.DLL 2008-11-26 13:56 286,720 ----a-w c:\windows\PATCH.EXE 2008-11-25 23:09 --------- d-----w c:\documents and settings\Utilisateur\Application Data\InstallShield 2008-11-25 22:53 --------- d-----w c:\program files\Malwarebytes' Anti-Malware 2008-11-24 22:56 --------- d-----w c:\documents and settings\Administrateur\Application Data\Malwarebytes 2008-11-24 20:51 --------- d-----w c:\documents and settings\Utilisateur\Application Data\Babylon 2008-11-24 20:51 --------- d-----w c:\documents and settings\All Users\Application Data\Babylon 2008-11-22 17:03 --------- d-----w c:\program files\Codemasters 2008-11-15 21:19 --------- d-----w c:\documents and settings\Utilisateur\Application Data\Mumble 2008-11-15 14:26 --------- d-----w c:\program files\Mumble 2008-11-11 11:09 --------- d-----w c:\program files\Electronic Arts 2008-11-09 19:55 107,888 ----a-w c:\windows\system32\CmdLineExt.dll 2008-11-09 19:41 --------- d-----w c:\program files\MSBuild 2008-11-09 19:38 --------- d-----w c:\program files\Reference Assemblies 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll 2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll 2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll 2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe 2004-08-04 00:55 25,088 --sha-r c:\windows\system32\userinit.exe 2008-09-14 13:53 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008090120080908\index.dat 2008-09-15 08:35 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008090820080915\index.dat 2008-09-15 18:55 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008091520080916\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2007-12-15 482760] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928] "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832] "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-01-16 185896] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32 wiz.exe] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Valve\Steam\SteamApps\raknar\counter-strike source\hl2.exe"= "c:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe"= "c:\Program Files\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"= "c:\WINDOWS\system32\PnkBstrA.exe"= "c:\WINDOWS\system32\PnkBstrB.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\BitTorrent\bittorrent.exe"= "c:\Program Files\CRS\Battleground Europe\WW2_sse2.exe"= "c:\Program Files\Codemasters\GRID\GRID.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\xrEngine.exe"= "c:\Program Files\GSC World Publishing\Ñ.Ò.À.Ë.Ê.Å.Ð. - ×èñòîå Íåáî\bin\dedicated\xrEngine.exe"= "c:\Program Files\Curse\CurseClient.exe"= "c:\Documents and Settings\Utilisateur\Bureau\LEFT 4 DEAD.[FRENCH].[PCDVD].(2008)-{AkT-Grp}\LEFT 4 DEAD.[FRENCH].[PCDVD].(2008).by AkTivisT\left4dead.exe"= R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-09-06 2915944] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 111184] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-05 20560] R2 WinDefend;Windows Defender;"c:\program files\Windows Defender\MsMpEng.exe" [2006-11-03 13592] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\setup.exe . Contenu du dossier 'Tâches planifiées' 2008-12-28 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.orange.fr/ IE: { - c:\program files\Messenger\msmsgs.exe . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-28 20:28:34 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2008-12-28 20:29:31 ComboFix-quarantined-files.txt 2008-12-28 19:29:24 Avant-CF: 16 737 603 584 octets libres Après-CF: 17,772,511,232 octets libres 147 --- E O F --- 2008-12-18 10:57:19

Lyonnais92 · Answer

Re;

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Venisia54 · Answer

bonjour, voici le rapport

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1574
Windows 5.1.2600 Service Pack 3

30/12/2008 13:30:15
mbam-log-2008-12-30 (13-30-15).txt

Type de recherche: Examen rapide
Eléments examinés: 53121
Temps écoulé: 3 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

cesar · Answer

La réponse est ici:
https://blog.galerie-cesar.com/solution-pour-le-virus-ntdll64exe/

Lyonnais92 · Answer

Bonjour,

Telecharge et installe UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisie l' option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
         Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
         Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Venisia54 · Answer

Re bonjour,

Je ne suis pas sur que les 2 infections soies identiques mais on m'a demandé de poursuivre sur ce post.

J'ai encore une m........ de virus. Celui-ci fait biper antivir toutes les 5 minutes ,supprimer, mettre en quarantaine n'a aucun effet.
antivir le nomme TR/hijacker.Gen et le situe dans win32

voici le rapport rapide de malware

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4043

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27/04/2010 22:02:07
mbam-log-2010-04-27 (22-02-07).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 115992
Temps écoulé: 1 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


 et de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:49:45, on 27/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?e=1232576334642&h=009ac5fa3e1a601929601fc865279f72/&filename=jinstall-6u11-windows-i586-jc.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Lyonnais92 · Answer

Salut,

"poursuivre" ici a le mérite de rappeler que tu n'es pas allé au bout de la désinfection l'année dernière.


===

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche  le fichier ZHPDiag.txt sur ton Bureau

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Venisia54 · Answer

Salut, merci pour ton aide :)  

Les choses se sont agravées, au démarage aujourd'hui un message windows stipule que la configuration du PC a trop changé et qu'il faut réactiver windows sur 3 jours.  
Arrivé sur le bureau alerte windows car il n'y a plus de pare-feu et il m'est impossible d'accéder aux options de celui-ci, de plus je n'ai plus d accés à internet avec ce PC. 
Et Antivir détecte toutes les 2 minutes TR/Patched GEN Trojan. 

http://www.cijoint.fr/cjlink.php?file=cj201004/cijD0pZ8iO.txt

Merci par avance :)

Lyonnais92 · Answer

Re,

c'est normal que tu ne sois pas administrateur du PC ?

Tu as un autre ordi pour te connecter et nous répondre ?

Dans quel fichier Antivir te détecte quelque chose ?

====

Coupe ta connection Internet.

Fais un scan complet avec Antivir et poste le rapport;

Venisia54 · Answer

Re, 

Non c'est pas normal car c'est un ordinateur personnel dont je suis l'administrateur. 

Oui car nous avons 2 PC. 

En faite il me trouve un nouveau virus toutes les 2 minutes. 
Le dernier est TR/fraudPack.atla dans c:/Documents and settings/Utilisateur/newuptade 1142C.exe 

a+

Voilà le rapport du scan qui viens juste de se finir.

Avira AntiVir Personal
Report file date: mercredi 28 avril 2010  20:45

Scanning for 2048245 virus strains and unwanted programs.

Licensed to:      Avira AntiVir Personal - FREE Antivirus
Serial number:    0000149996-ADJIE-0000001
Platform:         Windows XP
Windows version:  (Service Pack 3)  [5.1.2600]
Boot mode:        Normally booted
Username:         SYSTEM
Computer name:    LAMIELLE-E83988

Version information:
BUILD.DAT     : 8.2.0.354      17048 Bytes  23/10/2009 13:15:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18/11/2008 08:21:26
AVSCAN.DLL    : 8.1.4.0        40705 Bytes  26/05/2008 07:56:40
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:19
LUKERES.DLL   : 8.1.4.0        12033 Bytes  26/05/2008 07:58:52
ANTIVIR0.VDF  : 7.10.0.0    19875328 Bytes  06/11/2009 23:23:04
ANTIVIR1.VDF  : 7.10.6.89    9601392 Bytes  15/04/2010 20:13:29
ANTIVIR2.VDF  : 7.10.6.219    522144 Bytes  26/04/2010 19:41:04
ANTIVIR3.VDF  : 7.10.6.227     91136 Bytes  27/04/2010 16:57:58
Engineversion : 8.2.1.224 
AEVDF.DLL     : 8.1.2.0       106868 Bytes  24/04/2010 10:48:54
AESCRIPT.DLL  : 8.1.3.27     1294714 Bytes  24/04/2010 10:48:53
AESCN.DLL     : 8.1.5.0       127347 Bytes  25/02/2010 19:54:18
AESBX.DLL     : 8.1.3.1       254324 Bytes  24/04/2010 10:48:52
AERDL.DLL     : 8.1.4.6       541043 Bytes  16/04/2010 20:14:02
AEPACK.DLL    : 8.2.1.1       426358 Bytes  19/03/2010 20:47:38
AEOFFICE.DLL  : 8.1.0.41      201083 Bytes  18/03/2010 20:48:36
AEHEUR.DLL    : 8.1.1.24     2613623 Bytes  16/04/2010 20:13:58
AEHELP.DLL    : 8.1.11.3      242039 Bytes  01/04/2010 20:09:16
AEGEN.DLL     : 8.1.3.7       373106 Bytes  16/04/2010 20:13:37
AEEMU.DLL     : 8.1.2.0       393588 Bytes  24/04/2010 10:48:51
AECORE.DLL    : 8.1.13.1      188790 Bytes  01/04/2010 20:09:14
AEBB.DLL      : 8.1.1.0        53618 Bytes  24/04/2010 10:48:51
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:05
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:28:01
AVREP.DLL     : 8.0.0.7       159784 Bytes  16/02/2010 19:53:40
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:40
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:23
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:49
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:40
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:10
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12/06/2008 13:48:07
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27/06/2008 13:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 28 avril 2010  20:45

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'smax4pnp.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'RichVideo.exe' - '1' Module(s) have been scanned
Scan process 'PnkBstrA.exe' - '1' Module(s) have been scanned
Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'FTRTSVC.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'MsMpEng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
27 processes with 27 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '51' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
    [WARNING]   The file could not be opened!
C:\Documents and Settings\Utilisateur\Application Data\06C6DAA845365D6A356A8EEEB48AAFF3
ewupdate1142C.exe
    [DETECTION] Is the TR/FraudPack.atla Trojan
    [NOTE]      The file was moved to '4c4f82ed.qua'!
C:\Program Files\TubeMaster\TMUpdate.exe
    [DETECTION] Contains a recognition pattern of the (harmful) BDS/Generic.181276 back-door program
    [NOTE]      The file was moved to '4c2d9bbf.qua'!
C:\Program Files\TubeMaster\TubeMaster.VIR
    [DETECTION] Contains a recognition pattern of the (harmful) BDS/Hupigon.frdu back-door program
    [NOTE]      The file was moved to '4c3a9bfa.qua'!
C:\WINDOWS\system32\drivers\ipsec.sys
    [DETECTION] Is the TR/Patched.Gen Trojan
    [NOTE]      The file was moved to '4c4ba09c.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNING]   The file could not be opened!


End of the scan: mercredi 28 avril 2010  22:53
Used time:  2:08:28 Hour(s)

The scan has been done completely.

   8952 Scanning directories
 201943 Files were scanned
      4 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      4 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 201937 Files not concerned
   2797 Archives were scanned
      2 Warnings
      4 Notes

Venisia54 · Answer

Bonjour, 
Aujourd'hui la réactivation de windows sous 3 jours est toujours presente ainsi que l'absence d'internet. Mais antivir ne trouve plus rien.
Dois- je vraiment réactiver windows ? 
Merci par avance.

Lyonnais92 · Answer

Bonjour,

on verra pour la réactivation plus tard.

* Télécharge Zeb-Restore : 
http://telechargement.zebulon.fr/zeb-restore.html 
Mets le dans un dossier, sur ton bureau par exemple (par transfert sur clé USB). 
Lance Zebrestore et coche la/les case(s) suivante(s) : 

RegEdit 
Clés RUN 
Bouton Arrêter 
Gestionnaire des tâches 
Panneau de configuration 


Réparation IE 
Sites de confiance et sensibles 
Préfixes et Protocoles Internet 


Policies 
Fichier Hosts 
Windows Update 
Extension des fichiers 
Restauration du système 


Ne coche que la/les case(s) indiquée(s). 
Clique sur le bouton <Restaurer>. 
Quitte le programme. 

Cela a restauré Internet ?

Ne fais pas redémarrer l'ordi.

===

Est ce que tu aurais accès à Internet via le mode sans échec avec prise en charge réseau (si zeb restore n'a pas fonctionné) ?

Venisia54 · Answer

Re,
Voilà c'est fait mais tjs pas d'internet et ca me dis windows n'a pas pu détecter de carte réseau quand je lance internet.
a+

Lyonnais92 · Answer

Re,

trouves-tu ta carte réseau dans le Gestionnaire de périphériques ?

Venisia54 · Answer

Oui elle y est mais tout les sous dossiers carte réseaux sont en disfonctionnement.

Lyonnais92 · Answer

Re,

tu veux dire que toutes les cartes réseau ont un point jaune ?

Tu as un motif associé ?

C'est un problème de pilote ?

Venisia54 · Answer

Re,

Oui elles ont toutes un point jaune.
Ca dit Pilote endommagé ou absent.

Lyonnais92 · Answer

Re,

quel est le nom du(es) pilote(s) manquant ?

Que se passe-t-il si tu essayes de réparer ?

Venisia54 · Answer

Re, 
tous les pilotes sont manquants, code 39 et ne peuvent etre télécharger par windows. 

Quand je met résoudre les problémes ils me conseillent de désinstaller et réinstaller, mais quand je veux le faire message windows me dit qu'il est impossible de désinstaller ces périphériques.

Lyonnais92 · Answer

Re,

Ouvre le gestionnaire de périphériques, choisis ta carte (celle que tu utilises) et fais un clic droit.

Clique sur Propriétés.

Donne moi le nom des pilotes.

Venisia54 · Answer

Re,
Realtek RTL 8168/8111 PCI-E
Gigabyt Ethernet NIC
Version 5.646.727.2006

Lyonnais92 · Answer

Re,

ce lien te donne un fichier à télécharger

https://www.commentcamarche.net/telecharger/utilitaires/17877-pilote-realtek-rtl8100-8101-8102-8111-8168-pour-2000-xp/

Copie le sur l'ordi infecté, dézippe le et exécute le.

Cela réinstalle le pilote ?

Venisia54 · Answer

Bonjour,
Ca veut juste le réparer, je fais la manip mais internet ne fonctionne toujours pas aprés.

Lyonnais92 · Answer

Re, 

la carte réseau a toujours un point jaune ? 

Tu as le Cd de Windows ?

@+ 
Science sans conscience n'est que ruine de l'âme. Rabelais

Venisia54 · Answer

Oui il y'a toujours un point jaune sur ttes les lignes des cartes réseaux.

Oui j'ai le CD de windows.
A+

Lyonnais92 · Answer

Bonsoir,

/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard : 
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

? Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau : 

Tu suis ce tutoriel 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Tu suis ce tutoriel 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix : 
? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur » 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\INSTALLES LA CONSOLE DE RECUPERATION 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Venisia54 · Answer

Bonjour ,

Voici le rapport

ComboFix 10-04-29.01 - Utilisateur 02/05/2010  11:52:49.10.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.2047.1626 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-02 au 2010-05-02  ))))))))))))))))))))))))))))))))))))
.

2010-04-30 08:19 . 2009-03-03 18:18	73728	----a-w-	c:\windows\system32\RtNicProp32.dll
2010-04-28 17:45 . 2010-04-28 17:45	--------	d-sh--w-	c:\documents and settings\NetworkService\IETldCache
2010-04-28 17:41 . 2010-04-28 17:44	--------	d-----w-	c:\program files\ZHPDiag
2010-04-27 21:18 . 2010-04-27 21:18	--------	d-----w-	C:\Kill'em
2010-04-27 21:11 . 2010-04-27 21:18	--------	d-----w-	c:\program files\List_Kill'em
2010-04-27 20:21 . 2010-04-27 20:21	--------	d-----w-	c:\program files\Trend Micro
2010-04-27 20:06 . 2010-04-27 20:06	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-04-27 20:06 . 2010-04-27 20:06	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-04-12 21:52 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-04-05 12:16 . 2010-04-05 12:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\Estsoft
2010-04-05 12:16 . 2010-04-05 12:23	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\ESTsoft

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-30 16:04 . 2002-01-05 19:22	--------	d-----w-	c:\program files\Wanadoo
2010-04-28 20:33 . 2008-04-02 19:58	--------	d-----w-	c:\program files\TubeMaster
2010-04-26 19:48 . 2008-09-15 18:54	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-04-26 19:42 . 2008-11-25 22:53	5918775	----a-w-	c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-04-22 19:25 . 2009-11-29 13:21	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\Mumble
2010-04-20 20:38 . 2010-03-16 18:37	443912	----a-w-	c:\documents and settings\Utilisateur\Application Data\Real\Update\setup3.10\setup.exe
2010-04-14 15:30 . 2009-11-21 01:54	79488	----a-w-	c:\documents and settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-31 11:26 . 2004-08-05 12:00	84526	----a-w-	c:\windows\system32\perfc00C.dat
2010-03-31 11:26 . 2004-08-05 12:00	510324	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-29 22:46 . 2008-09-15 18:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2008-09-15 18:54	20824	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-21 11:21 . 2002-01-05 21:22	--------	d-----w-	c:\program files\GUILD WARS
2010-03-19 20:46 . 2010-03-19 20:46	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\Ubisoft
2010-03-13 11:43 . 2010-01-24 11:52	--------	d-----w-	c:\program files\PyME
2010-03-12 16:43 . 2002-01-05 14:20	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-03-11 18:46 . 2008-05-17 15:11	--------	d-----w-	c:\program files\Codemasters
2010-03-10 06:16 . 2004-08-19 14:09	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-03-07 04:58 . 2008-04-08 17:04	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\BitTorrent
2010-03-06 14:54 . 2002-01-06 13:58	281760	----a-w-	c:\windows\system32\drivers\atksgt.sys
2010-03-06 14:54 . 2002-01-06 13:58	25888	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2010-03-06 14:54 . 2008-07-20 09:31	--------	d-----w-	c:\program files\Fichiers communs\Wise Installation Wizard
2010-03-06 14:46 . 2010-03-06 14:46	--------	d-----w-	c:\program files\Deep Silver
2010-03-06 14:45 . 2010-03-06 12:46	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\DAEMON Tools Lite
2010-03-06 14:41 . 2010-03-06 12:47	--------	d-----w-	c:\program files\DAEMON Tools Lite
2010-03-06 12:47 . 2002-01-06 13:44	691696	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-03-06 12:46 . 2010-03-06 12:46	--------	d-----w-	c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-03-06 12:10 . 2008-03-03 21:42	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\Mount&Blade
2010-02-25 06:17 . 2006-06-23 11:11	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-09-06 15:16	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-21 21:10 . 2010-02-21 21:10	74412	----a-w-	C:\Uninstall_DMUC.exe
2010-02-16 19:06 . 2006-09-06 15:13	2148352	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:06 . 2006-09-06 17:12	2026496	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 04:34 . 2004-08-19 14:09	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-03 21:07	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
2010-02-11 06:34 . 2010-02-08 03:07	2977792	----a-w-	C:\DMUC.exe
2004-08-04 00:55 . 2008-11-27 13:23	25088	--sha-r-	c:\windows\system32\userinit.exe
.

------- Sigcheck -------

[7] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386
dis.sys
[7] 2004-08-03 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$
dis.sys

[7] 2008-04-14 . E74DDB12188C2FF57A78624DBF7332FC . 26624 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\userinit.exe
[7] 2004-08-19 . 84717891F0734C611721F56C60B5FBC3 . 25088 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\userinit.exe
[-] 2004-08-04 . D6D65EA32B190401B57EDB6706F29669 . 25088 . . [5.1.2600.2180] . . c:\windows\system32\userinit.exe

c:\windows\System32\drivers
dis.sys ... manque !!
.
(((((((((((((((((((((((((((((   SnapShot@2010-04-29_22.01.32   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-02 09:51 . 2010-05-02 09:51	16384              c:\windows\system32\config\systemprofile\Local Settings	emp\Perflib_Perfdata_3c4.dat
- 2010-04-29 21:55 . 2010-04-29 21:55	16384              c:\windows\system32\config\systemprofile\Local Settings	emp\Perflib_Perfdata_3c4.dat
+ 2002-01-05 14:21 . 2009-04-23 17:22	141568              c:\windows\system32\drivers\Rtenicxp.sys
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-21 136600]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2009-09-30 198160]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Valve\Steam\SteamApps\raknar\counter-strike source\hl2.exe"=
"c:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\CRS\Battleground Europe\WW2_sse2.exe"=
"c:\Program Files\Codemasters\GRID\GRID.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Program Files\Curse\CurseClient.exe"=
"c:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe"=
"c:\WINDOWS\system32\java.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Valve\Steam\SteamApps\common\empire total war\Empire.exe"=
"c:\Program Files\Valve\Steam\SteamApps\raknar\source sdk base\hl2.exe"=
"c:\Program Files\Valve\Steam\SteamApps\common\mountblade warband\mb_warband.exe"=

R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
R3 SaiK0836;SaiK0836;c:\windows\system32\drivers\SaiK0836.sys [16/01/2010 18:57 107008]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/01/2002 15:44 691696]
.
Contenu du dossier 'Tâches planifiées'

2010-05-02 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]

2010-05-02 c:\windows\Tasks\User_Feed_Synchronization-{AE2D9319-30B8-4E15-A4B2-094C8074DA85}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
IE: { - c:\program files\Messenger\msmsgs.exe
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-02 11:57
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1220945662-527237240-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:1e,5f,08,a7,db,44,92,f1,6b,81,87,47,80,08,30,4d,0e,17,9e,ad,e7,e0,ba,
   00,ee,89,02,15,aa,e8,a4,20,28,5e,5e,bb,78,de,2f,2a,9a,a0,99,a5,ba,2c,20,6c,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-1220945662-527237240-682003330-1004\Software\SecuROM\License information*]
"datasecu"=hex:d4,a3,1b,15,e5,2d,73,20,15,7f,60,30,f0,0b,80,93,4a,61,48,a4,0a,
   c5,18,ec,35,a1,49,04,07,da,b5,7d,e4,57,49,29,b0,ad,ba,60,78,d0,05,da,32,d6,\
"rkeysecu"=hex:26,6b,a0,68,85,c0,8e,16,55,00,f9,96,d5,c4,24,ed
.
Heure de fin: 2010-05-02  11:59:13
ComboFix-quarantined-files.txt  2010-05-02 09:59
ComboFix2.txt  2010-04-29 22:03
ComboFix3.txt  2008-12-28 19:29

Avant-CF: 27 109 351 424 octets libres
Après-CF: 27 072 532 480 octets libres

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 7F2884389438010BE39C9C2CD80243B8

Lyonnais92 · Answer

Bonjour,

on avance.

Télécharge [  http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe seaf.exe de C__XX ]


hxxp://sd-1.archive-host.com/membres/up/16506160323759868/SF.exe

*Double clique sur SEAF.exe.

*Tape ndis.sys dans la fenêtre.

*Clique sur Lancer la recherche.

*Patiente quelques minutes(tu peux suivre l'avancement du scan).

*Une fenêtre avec un SEAFlog.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

Venisia54 · Answer

Re,

Voici le rapport

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 14:50:13 le 02/05/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. ndis.sys
8. 
9. 
10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
11. 
12. "c:\WINDOWS\ServicePackFiles\i386
dis.sys" [ ----N---- | 182656 ]
13. TC: 04/09/2008,21:35:41 | TM: 13/04/2008,21:20:37 | DA: 02/05/2010,11:58:19
14. 
15. =========================
16. 
17. "c:\WINDOWS\$NtServicePackUninstall$
dis.sys" [ ----C---- | 182912 ]
18. TC: 06/09/2008,01:42:50 | TM: 03/08/2004,23:14:30 | DA: 02/05/2010,11:58:21
19. 
20. =========================
21. 
22. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
23. 
24. Aucun dossier trouvé
25. 
26. =========================
27. 
28. Fin à: 14:51:26 le 02/05/2010 ( E.O.F )

Lyonnais92 · Answer

Bonjour,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Fcopy::

c:\WINDOWS\ServicePackFiles\i386
dis.sys | c:\windows\System32\drivers
dis.sys

Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Tu auras une invite t'indiquant que ComboFix veut expédier un fichier pour analyse : accepte.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Venisia54 · Answer

Bonsoir,

Voici le rapport combofix

ComboFix 10-04-29.01 - Utilisateur 03/05/2010  17:42:03.11.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.2047.1630 [GMT 2:00]
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Utilisateur\Bureau\CFscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
--------------- FCopy ---------------

c:\windows\ServicePackFiles\i386
dis.sys --> c:\windows\System32\drivers
dis.sys
.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-04-03 au 2010-05-03  ))))))))))))))))))))))))))))))))))))
.

2010-05-03 15:42 . 2008-04-13 19:20	182656	-c--a-w-	c:\windows\system32\dllcache
dis.sys
2010-05-03 15:42 . 2008-04-13 19:20	182656	----a-w-	c:\windows\system32\drivers
dis.sys
2010-05-02 12:49 . 2010-05-02 12:51	--------	d-----w-	c:\program files\SEAF
2010-04-30 08:19 . 2009-03-03 18:18	73728	----a-w-	c:\windows\system32\RtNicProp32.dll
2010-04-28 17:45 . 2010-04-28 17:45	--------	d-sh--w-	c:\documents and settings\NetworkService\IETldCache
2010-04-28 17:41 . 2010-04-28 17:44	--------	d-----w-	c:\program files\ZHPDiag
2010-04-27 21:18 . 2010-04-27 21:18	--------	d-----w-	C:\Kill'em
2010-04-27 21:11 . 2010-04-27 21:18	--------	d-----w-	c:\program files\List_Kill'em
2010-04-27 20:21 . 2010-04-27 20:21	--------	d-----w-	c:\program files\Trend Micro
2010-04-27 20:06 . 2010-04-27 20:06	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-04-27 20:06 . 2010-04-27 20:06	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-04-12 21:52 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-04-05 12:16 . 2010-04-05 12:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\Estsoft
2010-04-05 12:16 . 2010-04-05 12:23	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\ESTsoft

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-30 16:04 . 2002-01-05 19:22	--------	d-----w-	c:\program files\Wanadoo
2010-04-28 20:33 . 2008-04-02 19:58	--------	d-----w-	c:\program files\TubeMaster
2010-04-26 19:48 . 2008-09-15 18:54	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-04-26 19:42 . 2008-11-25 22:53	5918775	----a-w-	c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-04-22 19:25 . 2009-11-29 13:21	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\Mumble
2010-04-20 20:38 . 2010-03-16 18:37	443912	----a-w-	c:\documents and settings\Utilisateur\Application Data\Real\Update\setup3.10\setup.exe
2010-04-14 15:30 . 2009-11-21 01:54	79488	----a-w-	c:\documents and settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-31 11:26 . 2004-08-05 12:00	84526	----a-w-	c:\windows\system32\perfc00C.dat
2010-03-31 11:26 . 2004-08-05 12:00	510324	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-29 22:46 . 2008-09-15 18:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2008-09-15 18:54	20824	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-21 11:21 . 2002-01-05 21:22	--------	d-----w-	c:\program files\GUILD WARS
2010-03-19 20:46 . 2010-03-19 20:46	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\Ubisoft
2010-03-13 11:43 . 2010-01-24 11:52	--------	d-----w-	c:\program files\PyME
2010-03-12 16:43 . 2002-01-05 14:20	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-03-11 18:46 . 2008-05-17 15:11	--------	d-----w-	c:\program files\Codemasters
2010-03-10 06:16 . 2004-08-19 14:09	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-03-07 04:58 . 2008-04-08 17:04	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\BitTorrent
2010-03-06 14:54 . 2002-01-06 13:58	281760	----a-w-	c:\windows\system32\drivers\atksgt.sys
2010-03-06 14:54 . 2002-01-06 13:58	25888	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2010-03-06 14:54 . 2008-07-20 09:31	--------	d-----w-	c:\program files\Fichiers communs\Wise Installation Wizard
2010-03-06 14:46 . 2010-03-06 14:46	--------	d-----w-	c:\program files\Deep Silver
2010-03-06 14:45 . 2010-03-06 12:46	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\DAEMON Tools Lite
2010-03-06 14:41 . 2010-03-06 12:47	--------	d-----w-	c:\program files\DAEMON Tools Lite
2010-03-06 12:47 . 2002-01-06 13:44	691696	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-03-06 12:46 . 2010-03-06 12:46	--------	d-----w-	c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-03-06 12:10 . 2008-03-03 21:42	--------	d-----w-	c:\documents and settings\Utilisateur\Application Data\Mount&Blade
2010-02-25 06:17 . 2006-06-23 11:11	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-09-06 15:16	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2010-02-21 21:10 . 2010-02-21 21:10	74412	----a-w-	C:\Uninstall_DMUC.exe
2010-02-16 19:06 . 2006-09-06 15:13	2148352	----a-w-	c:\windows\system32
toskrnl.exe
2010-02-16 19:06 . 2006-09-06 17:12	2026496	----a-w-	c:\windows\system32
tkrnlpa.exe
2010-02-12 04:34 . 2004-08-19 14:09	100864	----a-w-	c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-03 21:07	226880	----a-w-	c:\windows\system32\drivers	cpip6.sys
2010-02-11 06:34 . 2010-02-08 03:07	2977792	----a-w-	C:\DMUC.exe
2004-08-04 00:55 . 2008-11-27 13:23	25088	--sha-r-	c:\windows\system32\userinit.exe
.

------- Sigcheck -------

[7] 2008-04-14 . E74DDB12188C2FF57A78624DBF7332FC . 26624 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\userinit.exe
[7] 2004-08-19 . 84717891F0734C611721F56C60B5FBC3 . 25088 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\userinit.exe
[-] 2004-08-04 . D6D65EA32B190401B57EDB6706F29669 . 25088 . . [5.1.2600.2180] . . c:\windows\system32\userinit.exe
.
(((((((((((((((((((((((((((((   SnapShot@2010-04-29_22.01.32   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-03 15:40 . 2010-05-03 15:40	16384              c:\windows\system32\config\systemprofile\Local Settings	emp\Perflib_Perfdata_3c4.dat
- 2010-04-29 21:55 . 2010-04-29 21:55	16384              c:\windows\system32\config\systemprofile\Local Settings	emp\Perflib_Perfdata_3c4.dat
+ 2002-01-05 14:21 . 2009-04-23 17:22	141568              c:\windows\system32\drivers\Rtenicxp.sys
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-21 136600]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2009-09-30 198160]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Valve\Steam\SteamApps\raknar\counter-strike source\hl2.exe"=
"c:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\CRS\Battleground Europe\WW2_sse2.exe"=
"c:\Program Files\Codemasters\GRID\GRID.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Program Files\Curse\CurseClient.exe"=
"c:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe"=
"c:\WINDOWS\system32\java.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Valve\Steam\SteamApps\common\empire total war\Empire.exe"=
"c:\Program Files\Valve\Steam\SteamApps\raknar\source sdk base\hl2.exe"=
"c:\Program Files\Valve\Steam\SteamApps\common\mountblade warband\mb_warband.exe"=

R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592]
R3 SaiK0836;SaiK0836;c:\windows\system32\drivers\SaiK0836.sys [16/01/2010 18:57 107008]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/01/2002 15:44 691696]
.
Contenu du dossier 'Tâches planifiées'

2010-05-03 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]

2010-05-03 c:\windows\Tasks\User_Feed_Synchronization-{AE2D9319-30B8-4E15-A4B2-094C8074DA85}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
IE: { - c:\program files\Messenger\msmsgs.exe
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-03 17:46
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1220945662-527237240-682003330-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:1e,5f,08,a7,db,44,92,f1,6b,81,87,47,80,08,30,4d,0e,17,9e,ad,e7,e0,ba,
   00,ee,89,02,15,aa,e8,a4,20,28,5e,5e,bb,78,de,2f,2a,9a,a0,99,a5,ba,2c,20,6c,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-1220945662-527237240-682003330-1004\Software\SecuROM\License information*]
"datasecu"=hex:d4,a3,1b,15,e5,2d,73,20,15,7f,60,30,f0,0b,80,93,4a,61,48,a4,0a,
   c5,18,ec,35,a1,49,04,07,da,b5,7d,e4,57,49,29,b0,ad,ba,60,78,d0,05,da,32,d6,\
"rkeysecu"=hex:26,6b,a0,68,85,c0,8e,16,55,00,f9,96,d5,c4,24,ed
.
Heure de fin: 2010-05-03  17:48:14
ComboFix-quarantined-files.txt  2010-05-03 15:48
ComboFix2.txt  2010-04-29 22:03
ComboFix3.txt  2008-12-28 19:29

Avant-CF: 28 496 642 048 octets libres
Après-CF: 28 457 107 456 octets libres

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 7180D6EE2975243946A48872FF66FE94





Voici le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:08, on 03/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?e=1232576334642&h=009ac5fa3e1a601929601fc865279f72/&filename=jinstall-6u11-windows-i586-jc.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Lyonnais92 · Answer

Bonjour,

connexion Internet ?

état des cartes réseau dans le Gestionnaire de périphériques ?

Venisia54 · Answer

Re,
Oui y'a internet.

Et les cartes réseaux fonctionnent correctement :)

Lyonnais92 · Answer

Re,

alors, tu mets à jour Malwarebytes et tu fais un scan rapide.

Tu mets en quarantaine tout ce qu'il trouve et tu postes le rapport.

Venisia54 · Answer

Re, 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4062

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03/05/2010 20:41:19
mbam-log-2010-05-03 (20-41-19).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 125567
Temps écoulé: 5 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Lyonnais92 · Answer

Re,

j'ai encore un souci avec le fichier userinit.exe.

Je pourrai probablement utiliser la même procédure de remplacement, mais il existe un utilitaire plus sûr.

Un tutoriel est ici :

https://forum.malekal.com/viewtopic.php?t=19657&start=

Tu le télécharges ici : 

http://fradesch.perso.cegetel.net/transf/WinFileReplace.exe

Le nom du fichier sera 

c:\windows\system32\userinit.exe

à mettre dans le Bloc-Notes.


Tu redémarreras l'ordi comme demandé et tu posteras le rapport.

Ensuite, tu mets à jour Antivir et tu fais un scan complet;

Tu posteras ensuite le rapport.

Venisia54 · Answer

Bonsoir,
Voici les rapports

 WinFileReplace - ver : 1.1.0 - by Loup blanc

---------------------------
 Microsoft Windows XP
 Service Pack 3
 Fran#ais
---------------------------
Contrôle du fichier téléchargé : 
MD5 recherchée : 	a9a9a86e7330bffaf64ae2acfb73d959 
sp3.000 	MD5 : a9a9a86e7330bffaf64ae2acfb73d959 
---------------------------
 
============ Comparaison des fichiers avant remplacement ============
 
---------
Les fichiers 
"c:\WINDOWS\system32\userinit.exe" 	MD5 : d6d65ea32b190401b57edb6706f29669 
"c:\WINDOWS\system32\userinit.exe" 	MD5 : d6d65ea32b190401b57edb6706f29669 
et 
"C:\FR-files\userinit.exe" 	MD5 : e74ddb12188c2ff57a78624dbf7332fc 
"C:\FR-files\userinit.exe" 	MD5 : e74ddb12188c2ff57a78624dbf7332fc 
sont différents... 
-----------


============ Comparaison des fichiers après remplacement ============

-----------
Les fichiers 
"c:\WINDOWS\system32\userinit.exe" 	MD5 : e74ddb12188c2ff57a78624dbf7332fc 
et 
"C:\FR-files\userinit.exe" 	MD5 : e74ddb12188c2ff57a78624dbf7332fc 
sont identiques...

"c:\WINDOWS\system32\userinit.backup" présent... 
 
Remplacement réussi   
-----------
 
======= Fin du rapport =======




rapport d'Antivir

Avira AntiVir Personal
Report file date: mardi 4 mai 2010  19:39

Scanning for 2070226 virus strains and unwanted programs.

Licensed to:      Avira AntiVir Personal - FREE Antivirus
Serial number:    0000149996-ADJIE-0000001
Platform:         Windows XP
Windows version:  (Service Pack 3)  [5.1.2600]
Boot mode:        Normally booted
Username:         SYSTEM
Computer name:    LAMIELLE-E83988

Version information:
BUILD.DAT     : 8.2.0.354      17048 Bytes  23/10/2009 13:15:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18/11/2008 08:21:26
AVSCAN.DLL    : 8.1.4.0        40705 Bytes  26/05/2008 07:56:40
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:19
LUKERES.DLL   : 8.1.4.0        12033 Bytes  26/05/2008 07:58:52
ANTIVIR0.VDF  : 7.10.0.0    19875328 Bytes  06/11/2009 23:23:04
ANTIVIR1.VDF  : 7.10.6.89    9601392 Bytes  15/04/2010 20:13:29
ANTIVIR2.VDF  : 7.10.7.36     890784 Bytes  04/05/2010 16:57:16
ANTIVIR3.VDF  : 7.10.7.39      30208 Bytes  04/05/2010 17:32:15
Engineversion : 8.2.1.224 
AEVDF.DLL     : 8.1.2.0       106868 Bytes  24/04/2010 10:48:54
AESCRIPT.DLL  : 8.1.3.27     1294714 Bytes  24/04/2010 10:48:53
AESCN.DLL     : 8.1.5.0       127347 Bytes  25/02/2010 19:54:18
AESBX.DLL     : 8.1.3.1       254324 Bytes  24/04/2010 10:48:52
AERDL.DLL     : 8.1.4.6       541043 Bytes  16/04/2010 20:14:02
AEPACK.DLL    : 8.2.1.1       426358 Bytes  19/03/2010 20:47:38
AEOFFICE.DLL  : 8.1.0.41      201083 Bytes  18/03/2010 20:48:36
AEHEUR.DLL    : 8.1.1.24     2613623 Bytes  16/04/2010 20:13:58
AEHELP.DLL    : 8.1.11.3      242039 Bytes  01/04/2010 20:09:16
AEGEN.DLL     : 8.1.3.7       373106 Bytes  16/04/2010 20:13:37
AEEMU.DLL     : 8.1.2.0       393588 Bytes  24/04/2010 10:48:51
AECORE.DLL    : 8.1.13.1      188790 Bytes  01/04/2010 20:09:14
AEBB.DLL      : 8.1.1.0        53618 Bytes  24/04/2010 10:48:51
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:05
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:28:01
AVREP.DLL     : 8.0.0.7       159784 Bytes  16/02/2010 19:53:40
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:40
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:23
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:49
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:40
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:10
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  12/06/2008 13:48:07
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  27/06/2008 13:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mardi 4 mai 2010  19:39

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'reader_sl.exe' - '1' Module(s) have been scanned
Scan process 'RichVideo.exe' - '1' Module(s) have been scanned
Scan process 'PnkBstrA.exe' - '1' Module(s) have been scanned
Scan process 'smax4pnp.exe' - '1' Module(s) have been scanned
Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'FTRTSVC.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'MsMpEng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
38 processes with 38 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '52' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
    [WARNING]   The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNING]   The file could not be opened!


End of the scan: mardi 4 mai 2010  21:22
Used time:  1:42:21 Hour(s)

The scan has been done completely.

   8698 Scanning directories
 203618 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 203616 Files not concerned
   2560 Archives were scanned
      2 Warnings
      0 Notes

Lyonnais92 · Answer

Bonjour,

refais tourner ZHPDiag et poste le rapport dans un lien cijoint.

Je pense que la désinfection est terminée mais on va le vérifier.

Comment va l'ordi ?

Venisia54 · Answer

Bonjour,

Voici le rapport:

Rapport de ZHPDiag v1.25.1413 par Nicolas Coolman
Run by Utilisateur at 05/05/2010 12:56:16
Web site :  http://www.premiumorange.com/zeb-help-process/zhpdiag.html

---\ Web Browser
MSIE: Internet Explorer v8.0.6001.18702

---\ System Information
Platform : Microsoft Windows XP (5.1.2600) Service Pack 3
Processor: x86 Family 6 Model 15 Stepping 6, GenuineIntel
Operating System: 32 Bits
Boot mode: Normal (Normal boot)
Total RAM: 2047 MB (76% free)
System drive C: has 26 GB (8%) free of 298 GB

---\ Logged in mode
Computer Name: LAMIELLE-E83988
User Name: Utilisateur
Selected Option: O39,O40,O41,O42,O43,O44,O46,O47,O48,O49,O50,O51,O52,O53,O54,O55,O56,O57,O58,O59,O60,O62,O63,O64,O66,O67,O68,O69,O80
Logged in as Administrator

---\ DOS/Devices
A:\ Floppy drive, Flash card reader, USB Key (Not Inserted)
C:\ Hard drive, Flash drive, Thumb drive (Free 26 Go of 298 Go)
D:\ CD-ROM drive (Not Inserted)
E:\ CD-ROM drive (Not Inserted)


---\ Security Center & Tools Informations
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiSpywareOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: OK

Venisia54 · Answer

---\ Processus lancés
[MD5.1983A11F702BDC5DB65B4B0F376FF6FD] - (.Analog Devices, Inc. - SMax4PNP.) -- C:\Program Files\Analog Devices\Core\smax4pnp.exe   [868352]
[MD5.405D6C6C1D5D255CB4EF1BFD1CE305E8] - (.Pas de propriétaire - Language Application.) -- C:\Program Files\CyberLink\PowerDVD\Language\Language.exe   [54832]
[MD5.9A29592CD135F6262C429152F7A8DD4A] - (.France Télécom R&D - Surveillance des modifications.) -- C:\PROGRA~1\Wanadoo\Watch.exe   [20480]
[MD5.69B16C7B7746BA5C642FC05B3561FC73] - (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe   [34672]
[MD5.B98FFA8288EFAABC436C30D198608345] - (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe   [136600]
[MD5.6E812818306D460D62B4ABEA9FDC6679] - (.Avira GmbH - Antivirus System Tray Tool.) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe   [266497]
[MD5.4C784423B8F0DAE1392398356C9BE1FC] - (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe   [198160]
[MD5.E48EDD7A58982F0EF3A9089002067200] - (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- C:\WINDOWS\system32\NvCpl.dll   [13666408]
[MD5.35BBA975637D472A0DB145F6207FB28A] - (.NVIDIA Corporation - NVIDIA Media Center Library.) -- C:\WINDOWS\system32\NvMcTray.dll   [110696]
[MD5.435F79D364B796A4EA0B5CAF24CA78BD] - (.DT Soft Ltd - DAEMON Tools Lite.) -- C:\Program Files\DAEMON Tools Lite\DTLite.exe   [369200]
[MD5.59DC5BB82E4C8E0B3EADCFDBC44BA6E4] - (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe   [15360]
[MD5.D6C8942BEA3698A2E7559BD423BFA5D7] - (.Avira GmbH - Antivirus Scheduler.) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe   [68865]
[MD5.335A142923FE7F97E8C8388ACD067568] - (.Avira GmbH - Antivirus On-Access Service.) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe   [151297]
[MD5.E4BDF223CD75478BF44567B4D5C2634D] - (.Microsoft Corporation - Generic Host Process for Win32 Services.) -- C:\WINDOWS\System32\svchost.exe   [14336]
[MD5.C3FB1D70CB88722267949694BA51759E] - (.Microsoft Corporation - Applications Services et Contrôleur.) -- C:\WINDOWS\system32\services.exe   [111104]
[MD5.D1261099E03EEE90976EA19002995B89] - (.France Telecom - FTRTSVC NT Service.) -- C:\WINDOWS\System32\FTRTSVC.exe   [40960]
[MD5.32192B4EBE8720ED8D49A455C962CB91] - (.Sun Microsystems, Inc. - Java(TM) Quick Starter Service.) -- C:\Program Files\Java\jre6\bin\jqs.exe   [152984]
[MD5.6E5DAC168D1FF9843E84A59D51D31107] - (.Hewlett-Packard Company - Pas de description.) -- C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe   [61440]
[MD5.1F31A588CC83A7B76715F9549515C161] - (.NVIDIA Corporation - NVIDIA Driver Helper Service, Version 196.2.) -- C:\WINDOWS\system32
vsvc32.exe   [154216]
[MD5.831883B107684301F48ACE752C963984] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\PnkBstrA.exe   [66872]
[MD5.91E6024D6D4DCDECDB36C43ECF9BBECB] - (.Microsoft Corporation - LSA Shell (Export Version).) -- C:\WINDOWS\system32\lsass.exe   [13312]
[MD5.BD517C7FB119997EFFBE39D5E4B37B05] - (.Pas de propriétaire - RichVideo Module.) -- C:\Program Files\CyberLink\Shared Files\RichVideo.exe   [167936]
[MD5.460E4CE148BD07218DA0B6A3D31885A9] - (.Microsoft Corporation - Spooler SubSystem App.) -- C:\WINDOWS\system32\spoolsv.exe   [57856]
[MD5.F45DD1E1365D857DD08BC23563370D0E] - (.Microsoft Corporation - Service Executable.) -- C:\Program Files\Windows Defender\MsMpEng.exe   [13592]


---\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm


---\ Internet Explorer URLSearchHook (R3)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} . (.Pas de propriétaire - SearchPageURL Module.) (1, 0, 0, 1) -- C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Search Class - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Internet Explorer.) (8.00.6001.18904 (longhorn_ie8_gdr.100222-1700)) -- C:\WINDOWS\system32\ieframe.dll


---\ Browser Helper Objects de navigateur (O2)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} . (.Adobe Systems Incorporated - Adobe PDF Helper for Internet Explorer.) -- C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} . (.Safer Networking Limited - Bad download blocker.) -- C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} . (.Microsoft Corporation - WindowsLiveLogin.dll.) -- C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} . (.Sun Microsystems, Inc. - Java(TM) Quick Starter binary.) -- C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll


---\ Applications démarrées automatiquement par le registre (O4)
O4 - HKLM\..\Run: [SoundMAXPnP] . (.Analog Devices, Inc. - SMax4PNP.) -- C:\Program Files\Analog Devices\Core\smax4pnp.exe 
O4 - HKLM\..\Run: [LanguageShortcut] . (.Pas de propriétaire - Language Application.) -- C:\Program Files\CyberLink\PowerDVD\Language\Language.exe 
O4 - HKLM\..\Run: [WOOWATCH] . (.France Télécom R&D - Surveillance des modifications.) -- C:\PROGRA~1\Wanadoo\Watch.exe 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe 
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe 
O4 - HKLM\..\Run: [avgnt] . (.Avira GmbH - Antivirus System Tray Tool.) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe 
O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe 
O4 - HKLM\..\Run: [NvCplDaemon] . (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- C:\WINDOWS\system32\NvCpl.dll 
O4 - HKLM\..\Run: [NvMediaCenter] . (.NVIDIA Corporation - NVIDIA Media Center Library.) -- C:\WINDOWS\system32\NvMcTray.dll 
O4 - HKCU\..\Run: [DAEMON Tools Lite] . (.DT Soft Ltd - DAEMON Tools Lite.) -- C:\Program Files\DAEMON Tools Lite\DTLite.exe 
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe 


---\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra button: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} . (.Microsoft Corporation - Windows Messenger.) -- C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} . (.Microsoft Corporation - Windows Live Writer Blog This Extension.) -- C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.not file.) - (.not file.)
O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} . (.Microsoft Corporation - Windows Messenger.) -- C:\Program Files\Messenger\msmsgs.exe


---\ Winsock hijacker (Layered Service Provider) (O10)
O10 - WLSP:\000000000001\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll
O10 - WLSP:\000000000002\Winsock LSP File . (.Microsoft Corporation - LDAP RnR Provider DLL.) -- C:\WINDOWS\system32\winrnr.dll
O10 - WLSP:\000000000003\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll


---\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab


---\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)
O20 - Winlogon Notify: dimsntfy . (.Microsoft Corporation - DIMS Notification Handler.) -- C:\WINDOWS\System32\dimsntfy.dll


---\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} . (.Microsoft Corporation - Web Site Monitor.) -- C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} . (.Microsoft Corporation - Objet du service d'environnement Systray.) -- C:\WINDOWS\system32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} . (.Microsoft Corporation - Windows Portable Device Shell Service Objec.) -- C:\WINDOWS\system32\WPDShServiceObj.dll


---\ Clé de Registre autorun SharedTaskScheduler (STS) (O22)
O22 - SharedTaskScheduler: (no name) - {8C7461EF-2B13-11d2-BE35-3078302C2030} . (.Microsoft Corporation - Bibliothèque de l'interface utilisateur du.) -- C:\WINDOWS\system32\browseui.dll


---\ Liste des services NT non Microsoft et non désactivés (O23)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) . (.Avira GmbH - Antivirus Scheduler.) - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) . (.Avira GmbH - Antivirus On-Access Service.) - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) . (.France Telecom - FTRTSVC NT Service.) - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) . (.Sun Microsystems, Inc. - Java(TM) Quick Starter Service.) - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) . (.Hewlett-Packard Company - Pas de description.) - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) . (.NVIDIA Corporation - NVIDIA Driver Helper Service, Version 196.2.) - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA (PnkBstrA) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) . (.Pas de propriétaire - RichVideo Module.) - C:\Program Files\CyberLink\Shared Files\RichVideo.exe


---\ Tâches planifiées en automatique (O39)
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\MP Scheduled Scan.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\User_Feed_Synchronization-{AE2D9319-30B8-4E15-A4B2-094C8074DA85}.job


---\ Composants installés (ActiveSetup Installed Components) (O40)
O40 - ASIC: Personnalisation du navigateur - >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS . (.Pas de propriétaire - Pas de description.) -- RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
O40 - ASIC: Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608500} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\binegutils.dll
O40 - ASIC: NetMeeting 3.01 - {44BBA842-CC51-11CF-AAFA-00AA00B6015B} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msnetmtg.inf
O40 - ASIC: Windows Messenger 4.7 - {5945c046-1e7d-11d1-bc44-00c04fd912be} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msmsgs.inf
O40 - ASIC: Microsoft Windows Media Player - {6BF52A52-394A-11d3-B153-00C04F79FAA6} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\wmp11.inf
O40 - ASIC: Adobe Flash Player - {D27CDB6E-AE6D-11cf-96B8-444553540000} . (.Adobe Systems, Inc. - Adobe Flash Player 10.0 r22.) -- C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx


---\ Pilotes lancés au démarrage (O41)
O41 - Driver: avgio (avgio) . (.Avira GmbH - Avira AntiVir Support for Minifilter.) - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys
O41 - Driver: avipbb (avipbb) . (.Avira GmbH - Avira Driver for RootKit Detection.) - C:\WINDOWS\system32\DRIVERS\avipbb.sys
O41 - Driver: ssmdrv (ssmdrv) . (.Avira GmbH - AVIRA SnapShot Driver.) - C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
O41 - Driver: Application Driver (01) (appdrv01) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\Drivers\appdrv01.sys


---\ Logiciels installés (O42)
O42 - Logiciel: Adobe Flash Player 10 ActiveX - (.Adobe Systems Incorporated.) [HKLM]
O42 - Logiciel: Adobe Reader 9 - Français - (.Adobe Systems Incorporated.) [HKLM]
O42 - Logiciel: Archiveur WinRAR - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Assistant de connexion Windows Live - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: AviSplit Classic Version 1.43 - (.Bobyte software.) [HKLM]
O42 - Logiciel: Avira AntiVir Personal - Free Antivirus - (.Avira GmbH.) [HKLM]
O42 - Logiciel: Battleground Europe: WWIIOL - (.Playnet Inc..) [HKLM]
O42 - Logiciel: BitTorrent - (.BitTorrent, Inc.) [HKCU]
O42 - Logiciel: CCleaner (remove only) - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Curse Client - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: DarthMod Ultimate Commander Edition - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: EasyCleaner - (.ToniArts.) [HKLM]
O42 - Logiciel: Empire: Total War - (.The Creative Assembly.) [HKLM]
O42 - Logiciel: GRID - (.Codemasters.) [HKLM]
O42 - Logiciel: Galerie de photos Windows Live - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Gestionnaire Internet - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Graphical Enhancement Resources 2.5 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Graphical Enhancement Textures 2.5 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: High Definition Audio Driver Package - KB888111 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Hotfix for Windows Media Format 11 SDK (KB929399) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Hotfix for Windows XP (KB954550-v5) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Hotfix for Windows XP (KB976002-v5) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Installation Windows Live - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Java(TM) 6 Update 11 - (.Sun Microsystems, Inc..) [HKLM]
O42 - Logiciel: Junk Mail filter update - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: K-Lite Codec Pack 3.6.5 Full - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Lecteur Windows Media 11 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Logitech Gaming Software - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: MSVCRT - (.Microsoft.) [HKLM]
O42 - Logiciel: MSXML 6.0 Parser (KB925673) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Malwarebytes' Anti-Malware - (.Malwarebytes Corporation.) [HKLM]
O42 - Logiciel: MediaCoder 0.7.2.4580 - (.Broad Intelligence.) [HKLM]
O42 - Logiciel: Microsoft .NET Framework 1.1 - (.Microsoft.) [HKLM]
O42 - Logiciel: Microsoft .NET Framework 1.1 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Microsoft .NET Framework 1.1 Security Update (KB953297) - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Microsoft .NET Framework 2.0 Service Pack 2 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft .NET Framework 3.0 Service Pack 2 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft .NET Framework 3.5 SP1 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Choice Guard - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Compression Client Pack 1.0 for Windows XP - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Games for Windows - LIVE  - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Games for Windows - LIVE Redistributable - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Internationalized Domain Names Mitigation APIs - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft National Language Support Downlevel APIs - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Office Excel Viewer 2003 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Office PowerPoint Viewer 2003 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft SQL Server 2005 Compact Edition [ENU] - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft User-Mode Driver Framework Feature Pack 1.0 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Visual C++ 2005 Redistributable - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Mount&Blade - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Mount&Blade: Warband - (.Taleworlds Entertainment.) [HKLM]
O42 - Logiciel: Mumble and Murmur - (.Mumble.) [HKLM]
O42 - Logiciel: NVIDIA Drivers - (.NVIDIA Corporation.) [HKLM]
O42 - Logiciel: NVIDIA PhysX - (.NVIDIA Corporation.) [HKLM]
O42 - Logiciel: NVIDIA nView Desktop Manager - (.NVIDIA Corporation.) [HKLM]
O42 - Logiciel: Nero 7 Essentials - (.Nero AG.) [HKLM]
O42 - Logiciel: Nightmare House Final - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: OpenAL - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Outil de téléchargement Windows Live - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: PowerDVD - (.CyberLink Corporation.) [HKLM]
O42 - Logiciel: PunkBuster Services - (.Even Balance, Inc..) [HKLM]
O42 - Logiciel: QuickTime Alternative 2.4.0 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: REALTEK GbE & FE Ethernet PCI-E NIC Driver - (.Realtek.) [HKLM]
O42 - Logiciel: RealPlayer - (.RealNetworks.) [HKLM]
O42 - Logiciel: Risen - (.Deep Silver.) [HKLM]
O42 - Logiciel: Rus XIII Century 0.401 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Segoe UI - (.Microsoft Corp.) [HKLM]
O42 - Logiciel: Spybot - Search & Destroy 1.4 - (.Safer Networking Limited.) [HKLM]
O42 - Logiciel: System Requirements Lab - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: TeamSpeak 2 RC2 - (.Dominating Bytes Design.) [HKLM]
O42 - Logiciel: TubeMaster - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Update for Microsoft .NET Framework 3.5 SP1 (KB963707) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: VideoLAN VLC media player 0.8.6d - (.VideoLAN Team.) [HKLM]
O42 - Logiciel: Windows Genuine Advantage Validation Tool (KB892130) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Imaging Component - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Internet Explorer 7 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Internet Explorer 8 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Live Call - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Live Communications Platform - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Live FolderShare - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Live Mail - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Live Messenger - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Live Writer - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Media Format 11 runtime - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Media Format 11 runtime - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Windows Media Player 11 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Presentation Foundation - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows XP Service Pack 3 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: XML Paper Specification Shared Components Pack 1.0 - (.Microsoft Corporation.) [HKLM]

Venisia54 · Answer

---\ HKCU & HKLM Software Keys
[HKCU\Software\AC3filter]
[HKCU\Software\ALWIL Software]
[HKCU\Software\ASUS]
[HKCU\Software\Adobe]
[HKCU\Software\Ahead]
[HKCU\Software\Analog Devices]
[HKCU\Software\AppDataLow]
[HKCU\Software\Apple Computer, Inc.]
[HKCU\Software\Applications locales générées par AppWizard]
[HKCU\Software\ArcSoft]
[HKCU\Software\Aurigma]
[HKCU\Software\Avira]
[HKCU\Software\Bobyte]
[HKCU\Software\CD Projekt RED]
[HKCU\Software\Classes]
[HKCU\Software\Clients]
[HKCU\Software\CoreVorbis]
[HKCU\Software\Crytek]
[HKCU\Software\CurseClient]
[HKCU\Software\Cyberlink]
[HKCU\Software\DSP-worx]
[HKCU\Software\DT Soft]
[HKCU\Software\DataLab]
[HKCU\Software\Deep Silver]
[HKCU\Software\DivXNetworks]
[HKCU\Software\EB]
[HKCU\Software\ESTsoft]
[HKCU\Software\Electronic Arts]
[HKCU\Software\Erocodeurs]
[HKCU\Software\FRANCE TELECOM]
[HKCU\Software\GNU]
[HKCU\Software\GSC Game World]
[HKCU\Software\GSpot Appliance Corp]
[HKCU\Software\Gabest]
[HKCU\Software\GameSpy]
[HKCU\Software\GetData]
[HKCU\Software\HaaliMkx]
[HKCU\Software\Haali]
[HKCU\Software\IGA]
[HKCU\Software\IM Providers]
[HKCU\Software\Intel]
[HKCU\Software\JEDI-VCL]
[HKCU\Software\JavaSoft]
[HKCU\Software\Lake]
[HKCU\Software\Logitech]
[HKCU\Software\MOVDLTool]
[HKCU\Software\Macromedia]
[HKCU\Software\Malwarebytes' Anti-Malware]
[HKCU\Software\MountAndBladeKeys]
[HKCU\Software\MountAndBladeWarbandKeys]
[HKCU\Software\Mumble]
[HKCU\Software\NVIDIA Corporation]
[HKCU\Software\Netscape]
[HKCU\Software\Northcode Inc]
[HKCU\Software\PepiMK Software]
[HKCU\Software\Piriform]
[HKCU\Software\Policies]
[HKCU\Software\RealNetworks]
[HKCU\Software\SEAF]
[HKCU\Software\Safer Networking Limited]
[HKCU\Software\SecuROM]
[HKCU\Software\Sony Online Entertainment]
[HKCU\Software\Sysinternals]
[HKCU\Software\The Creative Assembly]
[HKCU\Software\The Silicon Realms Toolworks]
[HKCU\Software\Trolltech]
[HKCU\Software\Turbine]
[HKCU\Software\Valve]
[HKCU\Software\Ventrilo]
[HKCU\Software\VirtualDub.org]
[HKCU\Software\WinRAR SFX]
[HKCU\Software\WinRAR]
[HKCU\Software\YahooPartnerToolbar]
[HKCU\Software\kazaa]
[HKCU\Software\wget]
[HKLM\Software\14919ea49a8f3b4aa3cf1058d9a64cec]
[HKLM\Software\AGEIA Technologies]
[HKLM\Software\ALWIL Software]
[HKLM\Software\ASUS]
[HKLM\Software\Analog Devices]
[HKLM\Software\Andrea Electronics]
[HKLM\Software\Apple Computer, Inc.]
[HKLM\Software\ArenaNet]
[HKLM\Software\Audible]
[HKLM\Software\Aureal]
[HKLM\Software\Avira]
[HKLM\Software\BRFEdit]
[HKLM\Software\BitTorrent]
[HKLM\Software\Blizzard Entertainment]
[HKLM\Software\Bohemia Interactive Studio]
[HKLM\Software\C07ft5Y]
[HKLM\Software\Classes]
[HKLM\Software\Clients]
[HKLM\Software\Codec Tweak Tool]
[HKLM\Software\Codemasters]
[HKLM\Software\Crytek]
[HKLM\Software\Curse]
[HKLM\Software\CyberLink]
[HKLM\Software\DT Soft]
[HKLM\Software\DarthMod]
[HKLM\Software\Deep Silver]
[HKLM\Software\DivXNetworks]
[HKLM\Software\ESTsoft]
[HKLM\Software\Electronic Arts]
[HKLM\Software\Erocodeurs]
[HKLM\Software\Even Balance]
[HKLM\Software\FRANCE TELECOM]
[HKLM\Software\Futuremark]
[HKLM\Software\GNU]
[HKLM\Software\Gabest]
[HKLM\Software\Gemplus]
[HKLM\Software\Google]
[HKLM\Software\HaaliMkx]
[HKLM\Software\InstallShield]
[HKLM\Software\InstalledOptions]
[HKLM\Software\Intel]
[HKLM\Software\InterVideo]
[HKLM\Software\JMICRON Technology Corp.]
[HKLM\Software\JavaSoft]
[HKLM\Software\KLCodecPack]
[HKLM\Software\Khronos]
[HKLM\Software\Lake]
[HKLM\Software\Licenses]
[HKLM\Software\Licenturion GmbH]
[HKLM\Software\LightScribe]
[HKLM\Software\Logitech]
[HKLM\Software\MOVDLTool]
[HKLM\Software\Macromedia]
[HKLM\Software\MicroQuill]
[HKLM\Software\Mindscape]
[HKLM\Software\Mount&Blade Warband]
[HKLM\Software\MozillaPlugins]
[HKLM\Software\Mozilla]
[HKLM\Software\NVIDIA Corporation]
[HKLM\Software\Nero]
[HKLM\Software\ODBC]
[HKLM\Software\PepiMK Software]
[HKLM\Software\Piriform]
[HKLM\Software\PlaymobilRitter]
[HKLM\Software\Playnet]
[HKLM\Software\Policies]
[HKLM\Software\Program Groups]
[HKLM\Software\QTAlternative]
[HKLM\Software\RTLSetup]
[HKLM\Software\RealNetworks]
[HKLM\Software\Realtek]
[HKLM\Software\RegisteredApplications]
[HKLM\Software\RichFX]
[HKLM\Software\S3R521]
[HKLM\Software\SEGA]
[HKLM\Software\Safer Networking Limited]
[HKLM\Software\Schlumberger]
[HKLM\Software\Secure]
[HKLM\Software\Sensaura]
[HKLM\Software\Sony Online Entertainment]
[HKLM\Software\Staccato]
[HKLM\Software\The Creative Assembly]
[HKLM\Software\The Silicon Realms Toolworks]
[HKLM\Software\Thomson]
[HKLM\Software\ToniArts]
[HKLM\Software\TrendMicro]
[HKLM\Software\Trolltech]
[HKLM\Software\Valve]
[HKLM\Software\VideoLAN]
[HKLM\Software\WAR]
[HKLM\Software\Windows 3.1 Migration Status]
[HKLM\Software\Wise Solutions]
[HKLM\Software\X-AVCSD]
[HKLM\Software\Xing Technology Corp.]
[HKLM\Software\adobe]
[HKLM\Software\ahead]
[HKLM\Software\knight]
[HKLM\Software\swearware]


---\ Contenu des dossiers Fichiers Communs (O43)
O43 - CFD:Common File Directory ----D- C:\Program Files\Adobe
O43 - CFD:Common File Directory ----D- C:\Program Files\AGEIA Technologies
O43 - CFD:Common File Directory ----D- C:\Program Files\Analog Devices
O43 - CFD:Common File Directory ----D- C:\Program Files\Avira
O43 - CFD:Common File Directory ----D- C:\Program Files\BitTorrent
O43 - CFD:Common File Directory ----D- C:\Program Files\bobyte
O43 - CFD:Common File Directory ----D- C:\Program Files\CCleaner
O43 - CFD:Common File Directory ----D- C:\Program Files\Codemasters
O43 - CFD:Common File Directory ----D- C:\Program Files\ComPlus Applications
O43 - CFD:Common File Directory ----D- C:\Program Files\CRS
O43 - CFD:Common File Directory ----D- C:\Program Files\Curse
O43 - CFD:Common File Directory ----D- C:\Program Files\CyberLink
O43 - CFD:Common File Directory ----D- C:\Program Files\DAEMON Tools Lite
O43 - CFD:Common File Directory ----D- C:\Program Files\Deep Silver
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers communs
O43 - CFD:Common File Directory ----D- C:\Program Files\GUILD WARS
O43 - CFD:Common File Directory --H-D- C:\Program Files\InstallShield Installation Information
O43 - CFD:Common File Directory ----D- C:\Program Files\Intel
O43 - CFD:Common File Directory ----D- C:\Program Files\Internet Explorer
O43 - CFD:Common File Directory ----D- C:\Program Files\Inventel
O43 - CFD:Common File Directory ----D- C:\Program Files\Java
O43 - CFD:Common File Directory ----D- C:\Program Files\K-Lite Codec Pack
O43 - CFD:Common File Directory ----D- C:\Program Files\List_Kill'em
O43 - CFD:Common File Directory ----D- C:\Program Files\Malwarebytes' Anti-Malware
O43 - CFD:Common File Directory ----D- C:\Program Files\MediaCoder
O43 - CFD:Common File Directory ----D- C:\Program Files\Messenger
O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft
O43 - CFD:Common File Directory ----D- C:\Program Files\microsoft frontpage
O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft Games for Windows - LIVE
O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft Office
O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft SQL Server Compact Edition
O43 - CFD:Common File Directory ----D- C:\Program Files\Mount&Blade
O43 - CFD:Common File Directory ----D- C:\Program Files\Movie Maker
O43 - CFD:Common File Directory ----D- C:\Program Files\Mozilla Firefox
O43 - CFD:Common File Directory ----D- C:\Program Files\MSBuild
O43 - CFD:Common File Directory ----D- C:\Program Files\MSN
O43 - CFD:Common File Directory ----D- C:\Program Files\MSN Gaming Zone
O43 - CFD:Common File Directory ----D- C:\Program Files\Mumble
O43 - CFD:Common File Directory ----D- C:\Program Files\Nero
O43 - CFD:Common File Directory ----D- C:\Program Files\NetMeeting
O43 - CFD:Common File Directory ----D- C:\Program Files\NVIDIA Corporation
O43 - CFD:Common File Directory ----D- C:\Program Files\Online Services
O43 - CFD:Common File Directory ----D- C:\Program Files\OpenAL
O43 - CFD:Common File Directory ----D- C:\Program Files\Outlook Express
O43 - CFD:Common File Directory ----D- C:\Program Files\Playnet
O43 - CFD:Common File Directory ----D- C:\Program Files\PyME
O43 - CFD:Common File Directory ----D- C:\Program Files\QuickTime Alternative
O43 - CFD:Common File Directory ----D- C:\Program Files\Real
O43 - CFD:Common File Directory ----D- C:\Program Files\Realtek
O43 - CFD:Common File Directory ----D- C:\Program Files\Reference Assemblies
O43 - CFD:Common File Directory ----D- C:\Program Files\SEAF
O43 - CFD:Common File Directory ----D- C:\Program Files\Securitoo
O43 - CFD:Common File Directory ----D- C:\Program Files\Services en ligne
O43 - CFD:Common File Directory ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD:Common File Directory ----D- C:\Program Files\SystemRequirementsLab
O43 - CFD:Common File Directory ----D- C:\Program Files\Teamspeak2_RC2
O43 - CFD:Common File Directory ----D- C:\Program Files\ToniArts
O43 - CFD:Common File Directory ----D- C:\Program Files\Trend Micro
O43 - CFD:Common File Directory ----D- C:\Program Files\TubeMaster
O43 - CFD:Common File Directory --H-D- C:\Program Files\Uninstall Information
O43 - CFD:Common File Directory ----D- C:\Program Files\Valve
O43 - CFD:Common File Directory ----D- C:\Program Files\Ventrilo
O43 - CFD:Common File Directory ----D- C:\Program Files\VideoLAN
O43 - CFD:Common File Directory ----D- C:\Program Files\Wanadoo
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Defender
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Live
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Live SkyDrive
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Media Connect 2
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows Media Player
O43 - CFD:Common File Directory ----D- C:\Program Files\Windows NT
O43 - CFD:Common File Directory --H-D- C:\Program Files\WindowsUpdate
O43 - CFD:Common File Directory ----D- C:\Program Files\WinRAR
O43 - CFD:Common File Directory ----D- C:\Program Files\xerox
O43 - CFD:Common File Directory ----D- C:\Program Files\ZHPDiag
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Adobe
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Ahead
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\InstallShield
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\LightScribe
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Logitech
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Microsoft Shared
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\MSSoap
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\ODBC
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Real
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Services
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\SpeechEngines
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\SWF Studio
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\System
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Windows Live
O43 - CFD:Common File Directory -SH-D- C:\Program Files\Fichiers Communs\WindowsLiveInstaller
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Wise Installation Wizard
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\xing shared

Lyonnais92 · Answer

Re,

il n'est pas complet.

Mets le dans un lien Cijoint comme tu as déjà fait ( http://www.cijoint.fr/  )

Venisia54 · Answer

---\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 - LFC:[MD5.00000000000000000000000000000000] - 05/05/2010 - 11:54:33 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\WindowsUpdate.log   [1165283]
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 05/05/2010 - 11:52:51 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\0.log   [0]
O44 - LFC:[MD5.CCDA2360D1A04D0FE4800B1BDC7E8AF0] - 05/05/2010 - 11:52:47 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\NvApps.xml   [267055]
O44 - LFC:[MD5.00000000000000000000000000000000] - 05/05/2010 - 11:52:47 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\wiadebug.log   [159]
O44 - LFC:[MD5.00000000000000000000000000000000] - 05/05/2010 - 11:52:43 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\wiaservc.log   [50]
O44 - LFC:[MD5.6A2CB42966136854F4464516FBB4AE72] - 05/05/2010 - 11:52:32 -S-A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\bootstat.dat   [2048]
O44 - LFC:[MD5.00000000000000000000000000000000] - 05/05/2010 - 01:22:35 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\SchedLgU.Txt   [32570]
O44 - LFC:[MD5.DBA91CD5A3A68302967C03213E52BDE8] - 04/05/2010 - 18:40:55 --HA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\QTFont.qfn   [54156]
O44 - LFC:[MD5.4A0E805F252EF7BDE401026ED276A13E] - 04/05/2010 - 18:37:48 ---A- . (.Pas de propriétaire - Pas de description.) -- C:apport-WFR.txt   [1165]
O44 - LFC:[MD5.4441ADDA0B5F635572A9CDF9A601974A] - 04/05/2010 - 18:36:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\ReplacerUndo.txt   [264]
O44 - LFC:[MD5.93270E594E7B7AAF4BDABF42E9D723F0] - 04/05/2010 - 17:55:11 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\wpa.dbl   [1374]
O44 - LFC:[MD5.7B7FE676C570F6C527242AA99ABD789D] - 03/05/2010 - 22:50:50 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\KB967715.log   [31704]
O44 - LFC:[MD5.2E8F6BE71469A67D5AA32D9A766A2F93] - 03/05/2010 - 19:35:25 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\mbam-error.txt   [127]
O44 - LFC:[MD5.5FCFEA13E8C0247AE28ADB2C6DBCECB5] - 03/05/2010 - 16:58:44 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\setupapi.log   [825874]
O44 - LFC:[MD5.B643BB048B9F4C88F9EEBF980BA4861A] - 03/05/2010 - 16:48:15 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\ComboFix.txt   [11567]
O44 - LFC:[MD5.C9DD76D0EF94637C77FF8CA5E0FB0684] - 03/05/2010 - 16:46:53 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system.ini   [227]
O44 - LFC:[MD5.DCC78B14C94A442C60981A7095B4A730] - 02/05/2010 - 14:13:13 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\NeroDigital.ini   [69]
O44 - LFC:[MD5.7856F25526E4CB161787D3ABC82A1000] - 02/05/2010 - 10:49:14 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\setuplog.txt   [44740]
O44 - LFC:[MD5.9509D17D03C4B7289B04901B94EF8342] - 02/05/2010 - 10:49:10 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\wpa.bak   [1374]
O44 - LFC:[MD5.5ED7F93FA333CA93B476154994F0ACF7] - 30/04/2010 - 17:29:28 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\Ascd_tmp.ini   [15202]
O44 - LFC:[MD5.8A437FB370F9963E1A82BAE227D2D547] - 30/04/2010 - 17:24:37 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\DHCPUPG.LOG   [1350]
O44 - LFC:[MD5.465263D872495A1FDE8157A7292261E1] - 30/04/2010 - 17:24:15 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\WINNT32.LOG   [426]
O44 - LFC:[MD5.F16842980374B782C29C51F2801CC974] - 30/04/2010 - 17:23:58 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\setupact.log   [1883]
O44 - LFC:[MD5.B073E39AC258E2AF10D7105DA2125CBC] - 30/04/2010 - 09:19:27 ---A- . (.Pas de propriétaire - About Page.) -- C:\WINDOWS\System32\RtNicProp32.dll   [73728]
O44 - LFC:[MD5.C5EC72A20B4C98DB5314E6C46765B148] - 29/04/2010 - 22:56:01 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\MBR.exe   [77312]
O44 - LFC:[MD5.C7DD7D9739785BD3A6B8499EEC1DEE7E] - 29/04/2010 - 14:39:38 ---A- . (.Malwarebytes Corporation - Malwarebytes' Anti-Malware.) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys   [38224]
O44 - LFC:[MD5.67B48A903430C6D4FB58CBACA1866601] - 29/04/2010 - 14:39:26 ---A- . (.Malwarebytes Corporation - Malwarebytes' Anti-Malware.) -- C:\WINDOWS\System32\drivers\mbam.sys   [20952]
O44 - LFC:[MD5.01AB1F45D023248C08601996F8B49ACF] - 27/04/2010 - 22:20:10 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\List'em.txt   [24327]
O44 - LFC:[MD5.CBB59FD5EA6D5D49645739872F9D89E7] - 26/04/2010 - 19:44:35 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\srun.log   [12]
O44 - LFC:[MD5.F1FBA6185A6A2BC6456970914875078E] - 26/04/2010 - 14:58:12 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\PEV.exe   [256512]
O44 - LFC:[MD5.C52E95B6AACBA9A1AFC0FD9BB738C41C] - 14/04/2010 - 22:47:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\FaxSetup.log   [618844]
O44 - LFC:[MD5.C971993227057E9F97CFC1155A87F383] - 14/04/2010 - 22:47:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\KB979683.log   [11272]
O44 - LFC:[MD5.543CB84203D8004CE6BD60D896D66159] - 14/04/2010 - 22:47:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\comsetup.log   [207456]
O44 - LFC:[MD5.D3AC1429BE45EDDA67659D96552F28A4] - 14/04/2010 - 22:47:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\iis6.log   [98766]
O44 - LFC:[MD5.56F6BD84BA90C0935B27073A24B93AB9] - 14/04/2010 - 22:47:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\imsins.log   [1374]
O44 - LFC:[MD5.1481ED434629C6ABEE4DF55C5B6A6F1B] - 14/04/2010 - 22:47:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\msgsocm.log   [31070]
O44 - LFC:[MD5.A6CC2046E3EDA2115CDD4AEE95D90556] - 14/04/2010 - 22:47:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS
tdtcsetup.log   [125684]
O44 - LFC:[MD5.CBE12F37C3F1BD2160EB6379198D652D] - 14/04/2010 - 22:47:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\ocgen.log   [298413]
O44 - LFC:[MD5.BD49F4133306CD4977CCB4F810E95CD2] - 14/04/2010 - 22:47:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\ocmsn.log   [34327]
O44 - LFC:[MD5.7BB1531FBC14307958E70E84C7BD51C3] - 14/04/2010 - 22:47:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS	soc.log   [237467]
O44 - LFC:[MD5.54FEDDD579403016C64AF90A34FB2302] - 14/04/2010 - 22:47:47 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\KB980232.log   [9803]
O44 - LFC:[MD5.4ABAACA252E4A7099D8F5957CD383F74] - 14/04/2010 - 22:47:47 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\imsins.BAK   [1374]
O44 - LFC:[MD5.40A49FD0B2C3E59F1979B8E5637C275B] - 14/04/2010 - 22:46:11 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\KB978338.log   [17911]
O44 - LFC:[MD5.9CD03FF1D7DB6843C82023A0E1501858] - 14/04/2010 - 22:46:06 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\KB977816.log   [17298]
O44 - LFC:[MD5.565C5E99026ED626EB8C14D035CD739B] - 14/04/2010 - 22:45:49 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\KB981332-IE8.log   [10214]
O44 - LFC:[MD5.46CB5E6925CCBAE61452C68DCF50B716] - 14/04/2010 - 15:43:23 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\KB978601.log   [17267]
O44 - LFC:[MD5.CB8A7D1DB205836551097F8D7A3F2DDB] - 14/04/2010 - 15:43:22 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\updspapi.log   [97808]
O44 - LFC:[MD5.A915FDD787058E4C6EB591C0BEE6F904] - 14/04/2010 - 15:43:06 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\KB979309.log   [16208]
O44 - LFC:[MD5.40AB11A3E54866A69380748C3335EFB1] - 12/04/2010 - 23:26:49 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\KB976002-v5.log   [3880]


---\ Opérations et fonctions au démarrage de Windows Explorer (O46)
O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll


---\ Export de clé d'application autorisée (ECAA) (O47)
O47 - AAKE:Key Export SP - "%windir%\system32\sessmgr.exe" [Enabled] .(.Microsoft Corporation - Gestionnaire de session de l'aide sur le Bureau à distance de Microsoft®.) -- C:\WINDOWS\system32\sessmgr.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Valve\Steam\SteamAppsaknar\counter-strike source\hl2.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Valve\Steam\SteamAppsaknar\counter-strike source\hl2.exe
O47 - AAKE:Key Export SP - "C:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe" [Enabled] .(.Microsoft Corporation - Win32 Cabinet Self-Extractor.) -- C:\Program Files\MSN\MSNCoreFiles\Install\msnsusii.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\PnkBstrA.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\PnkBstrA.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\PnkBstrB.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\PnkBstrB.exe
O47 - AAKE:Key Export SP - "%windir%\Network Diagnostic\xpnetdiag.exe" [Enabled] .(.Microsoft Corporation - Network Diagnostic for Windows XP.) -- C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O47 - AAKE:Key Export SP - "C:\Program Files\BitTorrent\bittorrent.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\BitTorrent\bittorrent.exe
O47 - AAKE:Key Export SP - "C:\Program Files\CRS\Battleground Europe\WW2_sse2.exe" [Enabled] .(.Playnet, Inc. - WW2.) -- C:\Program Files\CRS\Battleground Europe\WW2_sse2.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Codemasters\GRID\GRID.exe" [Enabled] .(.Codemasters - GRID Executable.) -- C:\Program Files\Codemasters\GRID\GRID.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\dpvsetup.exe" [Enabled] .(.Microsoft Corporation - Microsoft DirectPlay Voice Test.) -- C:\WINDOWS\system32\dpvsetup.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Curse\CurseClient.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Curse\CurseClient.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe" [Enabled] .(.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\launch4j-tmp\JDownloader.exe
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\java.exe" [Enabled] .(.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\WINDOWS\system32\java.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Windows Live\Messenger\wlcsdk.exe" [Enabled] .(.Microsoft Corporation - Windows Live Call.) -- C:\Program Files\Windows Live\Messenger\wlcsdk.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [Enabled] .(.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe" [Enabled] .(.Microsoft Corporation - Windows Live Sync.) -- C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Valve\Steam\SteamApps\common\empire total war\Empire.exe" [Enabled] .(.The Creative Assembly Ltd - Empire: Total War.) -- C:\Program Files\Valve\Steam\SteamApps\common\empire total war\Empire.exe
O47 - AAKE:Key Export SP - "C:\Program Files\Valve\Steam\SteamAppsaknar\source sdk base\hl2.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Valve\Steam\SteamAppsaknar\source sdk base\hl2.exe
O47 - AAKE:Key Export SP - "..." [Enabled] .(. Taleworlds Entertainment - Mount&Blade: Warband.) -- C:\Program Files\Valve\Steam\SteamApps\common\mountblade warband\mb_warband.exe
O47 - AAKE:Key Export DP - "%windir%\system32\sessmgr.exe" [Enabled] .(.Microsoft Corporation - Gestionnaire de session de l'aide sur le Bureau à distance de Microsoft®.) -- C:\WINDOWS\system32\sessmgr.exe
O47 - AAKE:Key Export DP - "%windir%\Network Diagnostic\xpnetdiag.exe" [Enabled] .(.Microsoft Corporation - Network Diagnostic for Windows XP.) -- C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O47 - AAKE:Key Export DP - "C:\Program Files\Windows Live\Messenger\wlcsdk.exe" [Enabled] .(.Microsoft Corporation - Windows Live Call.) -- C:\Program Files\Windows Live\Messenger\wlcsdk.exe
O47 - AAKE:Key Export DP - "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [Enabled] .(.Microsoft Corporation - Windows Live Messenger.) -- C:\Program Files\Windows Live\Messenger\msnmsgr.exe
O47 - AAKE:Key Export DP - "C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe" [Enabled] .(.Microsoft Corporation - Windows Live Sync.) -- C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe


---\ Image File Execution Options (IFEO) (O50)
O50 - IFEO:Image File Execution Options - Your Image File Name Here without a path - ntsd -d


---\ Trojan Driver Search Data (HKLM)(TDSD) (O52)
O52 - TDSD: \Drivers32\"msacm.trspch"="tssoft32.acm" . (.DSP GROUP, INC. - Codec audio TrueSpeech(TM) DSP Group pour MSACM V3.50.) -- C:\WINDOWS\System32	ssoft32.acm
O52 - TDSD: \Drivers32\"vidc.cvid"="iccvid.dll" . (.Radius Inc. - Cinepak® Codec.) -- C:\WINDOWS\System32\iccvid.dll
O52 - TDSD: \Drivers32\"vidc.iv31"="ir32_32.dll" . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ir32_32.dll
O52 - TDSD: \Drivers32\"vidc.iv32"="ir32_32.dll" . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\ir32_32.dll
O52 - TDSD: \Drivers32\"vidc.iv41"="ir41_32.ax" . (.Intel Corporation - Intel Indeo® Video 4.5.) -- C:\WINDOWS\System32\ir41_32.ax
O52 - TDSD: \Drivers32\"msacm.sl_anet"="sl_anet.acm" . (.Sipro Lab Telecom Inc. - Audio codec for MS ACM.) -- C:\WINDOWS\System32\sl_anet.acm
O52 - TDSD: \Drivers32\"msacm.iac2"="C:\WINDOWS\system32\iac25_32.ax" . (.Intel Corporation - Indeo® audio software.) -- C:\WINDOWS\system32\iac25_32.ax
O52 - TDSD: \Drivers32\"vidc.iv50"="ir50_32.dll" . (.Intel Corporation - Intel Indeo® video 5.10.) -- C:\WINDOWS\System32\ir50_32.dll
O52 - TDSD: \Drivers32\"msacm.l3acm"="C:\WINDOWS\system32\l3codeca.acm" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\WINDOWS\system32\l3codeca.acm
O52 - TDSD: \Drivers32\"VIDC.DIVX"="divx.dll" . (.DivX, Inc. - DivX.) -- C:\WINDOWS\System32\divx.dll
O52 - TDSD: \Drivers32\"VIDC.XVID"="xvidvfw.dll" . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\xvidvfw.dll
O52 - TDSD: \Drivers32\"VIDC.YV12"="yv12vfw.dll" . (.www.helixcommunity.org - Helix YV12 YUV Codec.) -- C:\WINDOWS\System32\yv12vfw.dll
O52 - TDSD: \Drivers32\"msacm.ac3acm"="ac3acm.acm" . (.fccHandler - AC-3 ACM Codec.) -- C:\WINDOWS\System32\ac3acm.acm
O52 - TDSD: \Drivers32\"msacm.lameacm"="lameACM.acm" . (.http://www.mp3dev.org/ - Lame MP3 codec engine.) -- C:\WINDOWS\System32\lameACM.acm
O52 - TDSD: \drivers.desc\"sl_anet.acm"="Sipro Lab Telecom Audio Codec" . (.Sipro Lab Telecom Inc. - Audio codec for MS ACM.) -- C:\WINDOWS\System32\sl_anet.acm
O52 - TDSD: \drivers.desc\"C:\WINDOWS\system32\iac25_32.ax"="Indeo® audio software" . (.Intel Corporation - Indeo® audio software.) -- C:\WINDOWS\system32\iac25_32.ax
O52 - TDSD: \drivers.desc\"ir50_32.dll"="Indeo® video 5.10" . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O52 - TDSD: \drivers.desc\"C:\WINDOWS\system32\l3codeca.acm"="Fraunhofer IIS MPEG Layer-3 Codec" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\WINDOWS\system32\l3codeca.acm
O52 - TDSD: \drivers.desc\"divx.dll"="DivX Pro 6.8.0" . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O52 - TDSD: \drivers.desc\"xvidvfw.dll"="Xvid MPEG-4 Video Codec v1.2.0-dev" . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O52 - TDSD: \drivers.desc\"lameACM.acm"="Lame ACM MP3 CODEC v3.97b2" . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O52 - TDSD: \drivers.desc\"ac3acm.acm"="AC-3 ACM Codec" . (.fccHandler - AC-3 ACM Codec.) -- C:\WINDOWS\System32\ac3acm.acm


---\ Microsoft Control Security Providers (MCSP) (O54)
O54 - MCSP:[HKLM\...\CurrentControlSet\Control] - "SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
O54 - MCSP:[HKLM\...\ControlSet001\Control] - "SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


---\ Microsoft Windows Policies System (MWPS) (O55)
O55 - MWPS:[HKLM\...\Policies\System] - "dontdisplaylastusername"=0
O55 - MWPS:[HKLM\...\Policies\System] - "shutdownwithoutlogon"=1
O55 - MWPS:[HKLM\...\Policies\System] - "undockwithoutlogon"=1
O55 - MWPS:[HKLM\...\Policies\System] - "legalnoticecaption"=
O55 - MWPS:[HKLM\...\Policies\System] - "legalnoticetext"=
O55 - MWPS:[HKLM\...\Policies\System] - "DisableRegistryTools"=0


---\ Microsoft Windows Policies Explorer (MWPE) (O56)
O56 - MWPE:[HKCU\...\Policies\Explorer] - "NoDriveTypeAutoRun"=323
O56 - MWPE:[HKCU\...\Policies\Explorer] - "NoDriveAutoRun"=67108863
O56 - MWPE:[HKCU\...\Policies\Explorer] - "NoDrives"=0
O56 - MWPE:[HKLM\...\Policies\Explorer] - "NoDriveAutoRun"=67108863
O56 - MWPE:[HKLM\...\Policies\Explorer] - "NoDriveTypeAutoRun"=323
O56 - MWPE:[HKLM\...\Policies\Explorer] - "NoDrives"=0
O56 - MWPE:[HKLM\...\Policies\Explorer] - "HonorAutoRunSetting"=1

Venisia54 · Answer

---\ Liste des Drivers Système (SDL) (O58) O58 - SDL:[MD5.0158F4027C0808FF65ED3B3D683339C9] - 16/01/2007 - 02:09:06 R--A- . (.Analog Devices, Inc. - High Definition Audio Function Driver.) -- C:\WINDOWS\system32\drivers\ADIHdAud.sys O58 - SDL:[MD5.358063AB6C1C4173B735525CDFA65F94] - 07/08/2006 - 23:57:30 R--A- . (.Andrea Electronics Corporation - Audio Noise Filtering Driver (32-bit).) -- C:\WINDOWS\system32\drivers\aeaudio.sys O58 - SDL:[MD5.116BFF96077A4A724E0AAB800525CEB5] - 06/09/2006 - 18:12:36 ---A- . (.ADMtek Incorporated. - ADMtek AN983/AN985/ADM951X NDIS5 Driver.) -- C:\WINDOWS\system32\drivers\an983.sys O58 - SDL:[MD5.D48659BB24C48345D926ECB45C1EBDF5] - 13/08/2004 - 03:56:20 R--A- . (.Pas de propriétaire - ATK0110 ACPI Utility.) -- C:\WINDOWS\system32\drivers\ASACPI.sys O58 - SDL:[MD5.C2A6683C9FF46AA70E2C2092B008EDC7] - 11/10/2006 - 04:33:58 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\ASUSHWIO.SYS O58 - SDL:[MD5.F0D933B42CD0594048E4D5200AE9E417] - 06/03/2010 - 15:54:06 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\atksgt.sys O58 - SDL:[MD5.7CC15D8DE7838734833AF9A3C2A2AF44] - 09/05/2008 - 12:15:51 ---A- . (.Avira GmbH - Avira AntiVir File Filter Driver.) -- C:\WINDOWS\system32\drivers\avgntdd.sys O58 - SDL:[MD5.0E529566454158CEC5A65DE16D9AAB10] - 21/01/2008 - 17:11:28 ---A- . (.Avira GmbH - Avira AntiVir File Filter Driver Manager.) -- C:\WINDOWS\system32\drivers\avgntmgr.sys O58 - SDL:[MD5.BDB37B3B217F5181A5BC129C50844F98] - 27/05/2009 - 20:38:11 ---A- . (.Avira GmbH - Avira Driver for RootKit Detection.) -- C:\WINDOWS\system32\drivers\avipbb.sys O58 - SDL:[MD5.76A6C7000A5546A7D4140ACCAEC43BDE] - 26/01/2006 - 13:21:32 ---A- . (.Service & Quality Technology. - Universal Serial Bus Camera Driver.) -- C:\WINDOWS\system32\drivers\Camd905c.sys O58 - SDL:[MD5.E3879C514F59402E1A7CE58A5511816F] - 26/01/2006 - 13:21:04 ---A- . (.Service & Quality Technology. - Universal Serial Bus Camera Driver.) -- C:\WINDOWS\system32\drivers\Capt905c.sys O58 - SDL:[MD5.C9B25AE9B8ABD983C5AD3F8CBFAB0F9C] - 06/09/2006 - 16:25:46 ---A- . (.RAVISENT Technologies Inc. - Pilote principal CineMaster C 1.2 WDM.) -- C:\WINDOWS\system32\drivers\cinemst2.sys O58 - SDL:[MD5.9624293E55AD405415862B504CA95B73] - 06/09/2006 - 16:25:46 ---A- . (.Compaq Computer Corporation - Compaq PA-1 Player Driver.) -- C:\WINDOWS\system32\drivers\cpqdap01.sys O58 - SDL:[MD5.F8A7212D0864EF5E9185FB95E6623F4D] - 06/03/2010 - 15:54:06 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\lirsgt.sys O58 - SDL:[MD5.67B48A903430C6D4FB58CBACA1866601] - 29/04/2010 - 14:39:26 ---A- . (.Malwarebytes Corporation - Malwarebytes' Anti-Malware.) -- C:\WINDOWS\system32\drivers\mbam.sys O58 - SDL:[MD5.C7DD7D9739785BD3A6B8499EEC1DEE7E] - 29/04/2010 - 14:39:38 ---A- . (.Malwarebytes Corporation - Malwarebytes' Anti-Malware.) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys O58 - SDL:[MD5.BE984D604D91C217355CDD3737AAD25D] - 06/09/2006 - 16:25:46 ---A- . (.S3/Diamond Multimedia Systems - NikeDrv Usb Driver.) -- C:\WINDOWS\system32\drivers ikedrv.sys O58 - SDL:[MD5.CB0CE8DE9F66A297CD86EB98921B8E58] - 12/01/2010 - 05:03:33 ---A- . (.NVIDIA Corporation - NVIDIA Compatible Windows 2000 Miniport Driver, Version 196.21.) -- C:\WINDOWS\system32\drivers v4_mini.sys O58 - SDL:[MD5.ED2E7F396B4098608C95BC3806BDF6FC] - 02/10/2002 - 01:22:32 ---A- . (.Padus, Inc. - Padus(R) ASPI Shell.) -- C:\WINDOWS\system32\drivers\pfc.sys O58 - SDL:[MD5.6D2DBE236CF5EF94E4BE1969D1B6D304] - 29/11/2008 - 16:56:54 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\PnkBstrK.sys O58 - SDL:[MD5.80D317BD1C3DBC5D4FE7B1678C60CADD] - 05/08/2004 - 13:00:00 ---A- . (.Parallel Technologies, Inc. - Parallel Technologies DirectParallel IO Library.) -- C:\WINDOWS\system32\drivers\ptilink.sys O58 - SDL:[MD5.A56FE08EC7473E8580A390BB1081CDD7] - 06/09/2006 - 16:25:46 ---A- . (.S3/Diamond Multimedia Systems - Rio8Drv.sys Usb Driver.) -- C:\WINDOWS\system32\drivers io8drv.sys O58 - SDL:[MD5.0A854DF84C77A0BE205BFEAB2AE4F0EC] - 06/09/2006 - 16:25:46 ---A- . (.S3/Diamond Multimedia Systems - RioDrv Usb Driver.) -- C:\WINDOWS\system32\drivers iodrv.sys O58 - SDL:[MD5.00FD6811350E175585ABCF7D4A61DD90] - 23/04/2009 - 18:22:16 ---A- . (.Realtek Semiconductor Corporation - Realtek 10/100/1000 NDIS 5.1 Driver.) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys O58 - SDL:[MD5.7478F02EAEC9CF91D7E55A2CE179302C] - 12/09/2008 - 09:32:55 R--A- . (.Saitek - Saitek Magic Bus.) -- C:\WINDOWS\system32\drivers\SaiBus.sys O58 - SDL:[MD5.A7F24863DE0375DB777A8A3CF4B29539] - 12/09/2008 - 09:32:40 R--A- . (.Saitek - Saitek Hid Driver.) -- C:\WINDOWS\system32\drivers\SaiK0836.sys O58 - SDL:[MD5.FDA3663E4A15E8B5EEC8EC801174E0EF] - 12/09/2008 - 09:32:55 R--A- . (.Saitek - Saitek Magic Mini Driver.) -- C:\WINDOWS\system32\drivers\SaiMini.sys O58 - SDL:[MD5.90A3935D05B494A5A39D37E71F09A677] - 13/11/2007 - 11:25:54 ---A- . (.Macrovision Corporation, Macrovision Europe - Macrovision SECURITY Driver.) -- C:\WINDOWS\system32\drivers\secdrv.sys O58 - SDL:[MD5.B6A6B409FDA9D9EBD3AADB838D3D7173] - 17/03/2006 - 10:18:58 R--A- . (.Sensaura - Sensaura WDM 3D Audio Driver.) -- C:\WINDOWS\system32\drivers\senfilt.sys O58 - SDL:[MD5.00000000000000000000000000000000] - 06/03/2010 - 02:50:45 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\sptd.sys O58 - SDL:[MD5.3D2829FDE1C52FC64DA5413889CE4DEE] - 01/03/2007 - 09:34:22 ---A- . (.Avira GmbH - AVIRA SnapShot Driver.) -- C:\WINDOWS\system32\drivers\ssmdrv.sys O58 - SDL:[MD5.D74A8EC75305F1D3CFDE7C7FC1BD62A9] - 06/09/2006 - 16:25:46 ---A- . (.Toshiba Corporation - WDM Toshiba Tecra Video Capture Driver.) -- C:\WINDOWS\system32\drivers sbvcap.sys O58 - SDL:[MD5.55E01061C74A8CEFFF58DC36114A8D3F] - 06/09/2006 - 16:25:46 ---A- . (.RAVISENT Technologies Inc. - CineMaster C WDM DVD Minidriver.) -- C:\WINDOWS\system32\drivers\vdmindvd.sys O58 - SDL:[MD5.BC3ECBCB40147BDAE3AD2FD0B4B346D8] - 14/04/2004 - 10:08:00 ---A- . (.Logitech Inc. - Logitech WingMan Virtual Bus Enumerator Driver.) -- C:\WINDOWS\system32\drivers\WmBEnum.sys O58 - SDL:[MD5.19F9881D8B3484FEDB605D0216876898] - 14/04/2004 - 10:08:00 ---A- . (.Logitech Inc. - Logitech WingMan Hid Filter Driver.) -- C:\WINDOWS\system32\drivers\WmFilter.sys O58 - SDL:[MD5.7A51545A6409A25EEDBDBD97D019E8CC] - 14/04/2004 - 10:08:00 ---A- . (.Logitech Inc. - Logitech WingMan Virtual Hid Device Driver.) -- C:\WINDOWS\system32\drivers\WmVirHid.sys O58 - SDL:[MD5.1F083B3BC73017E60C3CA85CF4A70753] - 14/04/2004 - 10:08:00 ---A- . (.Logitech Inc. - Logitech WingMan Translation Driver.) -- C:\WINDOWS\system32\drivers\WmXlCore.sys O58 - SDL:[MD5.6D3ADA4CE95CECA7BCE527A08C4C474E] - 05/08/2004 - 13:00:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\ansi.sys O58 - SDL:[MD5.0FE9F16075C9ACB941C957B7C649176E] - 05/08/2004 - 13:00:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\country.sys O58 - SDL:[MD5.C6D29F29DE7427B1B0775E53E577B623] - 05/08/2004 - 13:00:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\himem.sys O58 - SDL:[MD5.582BCDD47CF4B68B5CB528F18E3CB808] - 05/08/2004 - 13:00:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\key01.sys O58 - SDL:[MD5.FBBCFEC1379C5C02D88A361993EDF1B8] - 03/08/2004 - 21:46:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\keyboard.sys O58 - SDL:[MD5.7D30A74B5FB9FE3B245A6CE5FBCD71D5] - 05/08/2004 - 13:00:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32 tdos.sys O58 - SDL:[MD5.CF9ED169FF86D935E47999E82359E898] - 05/08/2004 - 13:00:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32 tdos404.sys O58 - SDL:[MD5.03B945AC0481CD8BB161C3569D8ED1C3] - 05/08/2004 - 13:00:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32 tdos411.sys O58 - SDL:[MD5.BBC957DC18C17CC027EB80B7C77F2AEA] - 05/08/2004 - 13:00:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32 tdos412.sys O58 - SDL:[MD5.3CFFAEFFF23B0D208214A6D3061A5B1B] - 05/08/2004 - 13:00:00 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32 tdos804.sys O58 - SDL:[MD5.CAAA108FD7BF71989946B39704323455] - 03/08/2004 - 21:45:26 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32 tio.sys O58 - SDL:[MD5.6F73F50162DEF60C84B725C18CD9140F] - 03/08/2004 - 21:45:16 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32 tio404.sys O58 - SDL:[MD5.0FDD5E69C1FF3B58043D44F2CC743D45] - 03/08/2004 - 21:45:12 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32 tio411.sys O58 - SDL:[MD5.8842837C4D8311BF8E72BEE8CCC42217] - 03/08/2004 - 21:45:16 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32 tio412.sys O58 - SDL:[MD5.6B56CEB3C6F9D5CD7293DBD9FE23B311] - 03/08/2004 - 21:45:14 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32 tio804.sys ---\ Liste des outils de nettoyage (LATC) (O63) O63 - Logiciel: HijackThis 2.0.2 - (.TrendMicro.) O63 - Logiciel: SEAF By C_XX - (.C_XX.) O63 - Logiciel: ZHPDiag 1.25 - (.Nicolas Coolman.) O63 - Logiciel: List_Kill'em 1.7.2.2 - (.g3n-h@ckm@n.) O63 - Logiciel: ComboFix - (.sUBs.) O63 - Logiciel: ToolsCleaner - (.A.Rothstein & dj QUIOU.) ---\ Liste des services Legacy (LALS) (O64) O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4) .(.Pas de propriétaire - Pas de description.) - LEGACY_AAVMKER4 O64 - Services: CurCS - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe - Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) .(.Avira GmbH - Antivirus Scheduler.) - LEGACY_ANTIVIRSCHEDULER O64 - Services: CurCS - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe - Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) .(.Avira GmbH - Antivirus On-Access Service.) - LEGACY_ANTIVIRSERVICE O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK O64 - Services: CurCS - (.not file.) - avast! Standard Shield Support (aswMon2) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMON2 O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI O64 - Services: CurCS - C:\WINDOWS\system32\DRIVERS\atksgt.sys - atksgt (atksgt) .(.Pas de propriétaire - Pas de description.) - LEGACY_ATKSGT O64 - Services: CurCS - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys - avgio (avgio) .(.Avira GmbH - Avira AntiVir Support for Minifilter.) - LEGACY_AVGIO O64 - Services: CurCS - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys - avgntflt (avgntflt) .(.Avira GmbH - Avira Minifilter Driver.) - LEGACY_AVGNTFLT O64 - Services: CurCS - C:\WINDOWS\system32\DRIVERS\avipbb.sys - avipbb (avipbb) .(.Avira GmbH - Avira Driver for RootKit Detection.) - LEGACY_AVIPBB O64 - Services: CurCS - (.not file.) - catchme (catchme) .(.Pas de propriétaire - Pas de description.) - LEGACY_CATCHME O64 - Services: CurCS - C:\Program Files\MediaCoder\sysInfo.sys - CrystalSysInfo (CrystalSysInfo) .(.Pas de propriétaire - Pas de description.) - LEGACY_CRYSTALSYSINFO O64 - Services: CurCS - (.not file.) - Lanceur de processus serveur DCOM (DcomLaunch) .(.Pas de propriétaire - Pas de description.) - LEGACY_DCOMLAUNCH O64 - Services: CurCS - C:\WINDOWS\System32\FTRTSVC.exe - France Telecom Routing Table Service (FTRTSVC) .(.France Telecom - FTRTSVC NT Service.) - LEGACY_FTRTSVC O64 - Services: CurCS - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe - InstallDriver Table Manager (IDriverT) .(.Macrovision Corporation - IDriverT Module.) - LEGACY_IDRIVERT O64 - Services: CurCS - C:\Program Files\Java\jre6\bin\jqs.exe - Java Quick Starter (JavaQuickStarterService) .(.Sun Microsystems, Inc. - Java(TM) Quick Starter Service.) - LEGACY_JAVAQUICKSTARTERSERVICE O64 - Services: CurCS - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe - LightScribeService Direct Disc Labeling Service (LightScribeService) .(.Hewlett-Packard Company - Pas de description.) - LEGACY_LIGHTSCRIBESERVICE O64 - Services: CurCS - C:\WINDOWS\system32\DRIVERS\lirsgt.sys - lirsgt (lirsgt) .(.Pas de propriétaire - Pas de description.) - LEGACY_LIRSGT O64 - Services: CurCS - (.not file.) - mountmgr (mountmgr) .(.Pas de propriétaire - Pas de description.) - LEGACY_MOUNTMGR O64 - Services: CurCS - (.not file.) - Mup (Mup) .(.Pas de propriétaire - Pas de description.) - LEGACY_MUP O64 - Services: CurCS - (.not file.) - Pilote système NDIS (NDIS) .(.Pas de propriétaire - Pas de description.) - LEGACY_NDIS O64 - Services: CurCS - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe - NMIndexingService (NMIndexingService) .(.Nero AG - Nero Home.) - LEGACY_NMINDEXINGSERVICE O64 - Services: CurCS - C:\WINDOWS\system32 vsvc32.exe - NVIDIA Display Driver Service (NVSvc) .(.NVIDIA Corporation - NVIDIA Driver Helper Service, Version 196.2.) - LEGACY_NVSVC O64 - Services: CurCS - (.not file.) - PartMgr (PartMgr) .(.Pas de propriétaire - Pas de description.) - LEGACY_PARTMGR O64 - Services: CurCS - C:\WINDOWS\system32\PCANDIS5.sys - PCANDIS5 NDIS Protocol Driver (PCANDIS5) .(.Printing Communications Assoc., Inc. (PCAUS - PCAUSA NDIS 5.0 Protocol Driver.) - LEGACY_PCANDIS5 O64 - Services: CurCS - C:\WINDOWS\system32\PnkBstrA.exe - PnkBstrA (PnkBstrA) .(.Pas de propriétaire - Pas de description.) - LEGACY_PNKBSTRA O64 - Services: CurCS - (.not file.) - PROCEXP113 (PROCEXP113) .(.Pas de propriétaire - Pas de description.) - LEGACY_PROCEXP113 O64 - Services: CurCS - (.not file.) - procexp90 (procexp90) .(.Pas de propriétaire - Pas de description.) - legacy_procexp90 O64 - Services: CurCS - (.not file.) - RDPNP (RDPNP) .(.Pas de propriétaire - Pas de description.) - LEGACY_RDPNP O64 - Services: CurCS - C:\Program Files\CyberLink\Shared Files\RichVideo.exe - Cyberlink RichVideo Service(CRVS) (RichVideo) .(.Pas de propriétaire - RichVideo Module.) - LEGACY_RICHVIDEO O64 - Services: CurCS - (.not file.) - Appel de procédure distante (RPC) (RpcSs) .(.Pas de propriétaire - Pas de description.) - LEGACY_RPCSS O64 - Services: CurCS - (.not file.) - S12345 (S12345) .(.Pas de propriétaire - Pas de description.) - LEGACY_S12345 O64 - Services: CurCS - C:\WINDOWS\system32\DRIVERS\secdrv.sys - Secdrv (Secdrv) .(.Macrovision Corporation, Macrovision Europe - Macrovision SECURITY Driver.) - LEGACY_SECDRV O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\sptd.sys - sptd (sptd) .(.Pas de propriétaire - Pas de description.) - LEGACY_SPTD O64 - Services: CurCS - C:\WINDOWS\system32\DRIVERS\ssmdrv.sys - ssmdrv (ssmdrv) .(.Avira GmbH - AVIRA SnapShot Driver.) - LEGACY_SSMDRV O64 - Services: CurCS - (.not file.) - Services Terminal Server (TermService) .(.Pas de propriétaire - Pas de description.) - LEGACY_TERMSERVICE ---\ File Associations Shell Spawning (O67) O67 - Shell Spawning: <.bat> [HKLM\..\open\Command] "%1" %* (.not file.) O67 - Shell Spawning: <.cpl> [HKLM\..\cplopen\Command] (.Pas de propriétaire - Pas de description.) -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* O67 - Shell Spawning: <.cmd> [HKLM\..\open\Command] "%1" %* (.not file.) O67 - Shell Spawning: <.com> [HKLM\..\open\Command] "%1" %* (.not file.) O67 - Shell Spawning: <.exe> [HKLM\..\open\Command] "%1" %* (.not file.) O67 - Shell Spawning: <.html> [HKLM\..\open\Command] (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\IEXPLORE.exe O67 - Shell Spawning: <.js> [HKLM\..\open\Command] (.Microsoft Corporation - Microsoft (R) Windows Based Script Host.) -- C:\WINDOWS\System32\WScript.exe O67 - Shell Spawning: <.reg> [HKLM\..\open\Command] (.Microsoft Corporation - Éditeur du Registre.) -- C:\WINDOWS egedit.exe O67 - Shell Spawning: <.bat> [HKCR\..\open\Command] "%1" %* (.not file.) O67 - Shell Spawning: <.cpl> [HKCR\..\cplopen\Command] (.Pas de propriétaire - Pas de description.) -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* O67 - Shell Spawning: <.cmd> [HKCR\..\open\Command] "%1" %* (.not file.) O67 - Shell Spawning: <.com> [HKCR\..\open\Command] "%1" %* (.not file.) O67 - Shell Spawning: <.exe> [HKCR\..\open\Command] "%1" %* (.not file.) O67 - Shell Spawning: <.html> [HKCR\..\open\Command] (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\IEXPLORE.exe O67 - Shell Spawning: <.js> [HKCR\..\open\Command] (.Microsoft Corporation - Microsoft (R) Windows Based Script Host.) -- C:\WINDOWS\System32\WScript.exe O67 - Shell Spawning: <.reg> [HKCR\..\open\Command] (.Microsoft Corporation - Éditeur du Registre.) -- C:\WINDOWS egedit.exe ---\ Start Menu Internet (SMI) (O68) O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\IEXPLORE.exe O68 - StartMenuInternet: <>[HKLM\..\Shell\open\Command] (.France Télécom R&D - Espace Client.) -- C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe O68 - StartMenuInternet: <>[HKLM\..\Shell\open\Command] (.France Telecom - Web Browser.) -- C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe ---\ Recherche d'infection Master Boot Record (O80) Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net Run by Utilisateur at 05/05/2010 12:57:11 device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spag.sys >>UNKNOWN [0x8A644938]<< kernel: MBR read successfully user & kernel MBR OK End of the scan (818 lines in 00mn 55s)

Venisia54 · Answer

Bonsoir,

Désolé j'avais pas vu que tu avais posté entre mes 2 envois de rapport.

Voici le lien du rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijYXAcDHa.txt 
 
A bientôt.

Lyonnais92 · Answer

Bonsoir,

ta console java n'est pas à jour.

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 

===

Installe un parefeu contrôlant les connexions sortantes :

tutoriel et lien de téléchargement ici :

https://www.malekal.com/tutorial-online-armor-free/ 

===
 On va nettoyer les outils inutiles.

Fais ceci :

Démarrer, Exécuter, tape combofix /uninstall dans la zone de saisie puis clique sur OK.

---

Démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]

---

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.


Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

===

Quelques conseils (merci kevlar) :

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Venisia54 · Answer

bonjour

viuci le rapport java:

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sun May 09 10:44:57 2010

Found and removed: C:\Documents and Settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_11

Found and removed: C:\Documents and Settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_15

Found and removed: C:\Documents and Settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_17

Found and removed: C:\Documents and Settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_18

Found and removed: C:\Documents and Settings\Utilisateur\Application Data\Sun\Java\jre1.6.0_19

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sun May 09 10:45:26 2010

------------------------------------

Finished reporting.



me conseilles tu d'installer un antispywar et si oui le quel svp?

Lyonnais92 · Answer

Bonjour, 

en matière d'antispyware, je te conseille Malwarebytes'  (en version gratuite, donc sans garde active)
@+ 
Science sans conscience n'est que ruine de l'âme. Rabelais

Venisia54 · Answer

Bonjour, 

l'infection est-elle supprimée??

J'ai installé un 2eme disque dur sur ce PC il y a t-il un risque que les virus se propagent de l'un à l'autre??

Lyonnais92 · Answer

Bonjour,

à mon avis, l'infection est supprimée depuis que je 'ai fait désinstaller les outils.

Tu as encore des problèmes ?

Certaines infections se propagent via les disques durs et le réseau.

sabirnabil · Answer

Apres la suppression des virus il faut redemarrer immeditement . Alors vous dever rescaner en mode sans echec  avec combofix et malwarebite .

walid_dz · Answer

j'ai le médicament de cette virus 
installer kspersky 2010 et analyse ton disque dure

Venisia54 · Answer

Bonsoir,

Encore merci Lyonnais pour ton aide, il me semble ne plus avoir de probleme avec ce virus.

Mais une chose génante que je traine depuis la 1ere infection: à chaque démarrage du pc une fenetre windows me signale que le nombre maximum de compte d'utilisateur est atteint. Mais à ma connaissance il n'y a qu un seul compte.

Lyonnais92 · Answer

Bonsoir,

je n'ai encore jamais entendu parler de ça.

Tu pourrais donner le message exact (nombre maximum de compte d'utilisateur est atteint ne donne rien sur Google).

Venisia54 · Answer

Bonjour

Voila le message : impossible d'ouvrir une cession car il y a limitations des comptes.

mais en fermant cette fenetre windows démarre normalement.

Lyonnais92 · Answer

Bonsoir,

j'ai trouvé une référence de Microsoft concernant ton problème.

Quelle sont les sessions existantes sur ton ordi  (as tu un choix qui s'ouvre dans un panneau ad hoc) ?

Lyonnais92 · Answer

Re,

complément :

démarrer, Panneau de configuration, Comptes d'utilisateurs

Clique sur Modifier la manière dont les utilisateurs ouvrent et ferment une session 

Les cases sont cochées ou décochées ?

Venisia54 · Answer

bonjour,

La case : "utiliser l'ecran d'acceuil " est cochée

l'autre case" utiliser la bascule utilisateur rapide " est décochée.

Il y a aussi un compte invité de désactivé......

Lyonnais92 · Answer

Bonjour,

réactive le compte invité (mais continue de te connecter sur ta session).

Toujours le problème ?

Venisia54 · Answer

Re 

oui il y a toujours le meme message.